nRg Опубликовано 20 мая, 2009 Поделиться Опубликовано 20 мая, 2009 3 дня назад заметил, что касперский перестал жаловаться на 2 зараженных файла при сканировании ( их не удалял, потому что система слетала...) решил снести касперского и поставить заново...но увы-не удалось...потом нашел форум и понял, что словил какую-ту бяку. Итак проблемы: ни один антивирус не запускается. Очень прошу Вас помочь. Заранее спасибо. http://gsi.kaspersky.fr/read.php?file=1263...ee055005ae903e0 -system info Сообщение от модератора MedvedevUnited Не выкладывайте, пожалуйста, карантин (файл virusinfo_cure.zip). hijackthis.log virusinfo_syscure.zip GetSystemInfo_16C434596B3A41D_пользователь_2009_05_20_22_51_53.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 20 мая, 2009 Поделиться Опубликовано 20 мая, 2009 (изменено) Восстановление системы отключить Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\1025n.exe',''); DeleteService('NlaEventlog'); QuarantineFile('C:\WINDOWS\system32\digiwet.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\15794d82.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\15794d82.sys'); DeleteFile('C:\WINDOWS\system32\digiwet.dll'); DeleteFile('C:\WINDOWS\system32\1025n.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(9); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделайте новые логи Изменено 20 мая, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
nRg Опубликовано 21 мая, 2009 Автор Поделиться Опубликовано 21 мая, 2009 ответ с каспера : Hello, 1025n.exe_ - Backdoor.Win32.Agent.agrd New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help. digiwet.dll - Backdoor.Win32.Zdoogu.dg This file is already detected. Please update your antivirus bases. Please quote all when answering. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 21 мая, 2009 Поделиться Опубликовано 21 мая, 2009 (изменено) Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('digiwet.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Скачайте IceSword Выберите Registry. Найти в реестре и изменить %fystemRoot% на %systemRoot% (в двух записях) Что с проблемой? Антивирус запустился? Изменено 21 мая, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
nRg Опубликовано 21 мая, 2009 Автор Поделиться Опубликовано 21 мая, 2009 все заработало, но я не нашел в реестре %systemRoot%....антивирус поставил , все работает. Что стоит теперь сделать? Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 мая, 2009 Поделиться Опубликовано 21 мая, 2009 В карантине C:\WINDOWS\system32\digiwet.dll - Backdoor.Win32.Zdoogu.dg Сообщение от модератора User Спасибо все исправлено Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 21 мая, 2009 Поделиться Опубликовано 21 мая, 2009 Я просил найти в реестре записи, содержащие в своей строке %fystemRoot%, и изменить эту часть строки на %systemRoot% (в двух записях) Одна связана со службой BITS, вторая - со службой обновления Windows Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 мая, 2009 Поделиться Опубликовано 21 мая, 2009 Скачайте и распакуйте в отдельную папку - Registry Search Запустите утилиту. В верхнем окне, предназначенном для поиска введите, fystemroot и нажмите кнопку "OK". В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
nRg Опубликовано 21 мая, 2009 Автор Поделиться Опубликовано 21 мая, 2009 (изменено) ; Results at 21.05.2009 20:51:47 for strings: ; 'fystemroot' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS] ; Contents of value: ; %fystemRoot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv] ; Contents of value: ; %fystemroot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\BITS] ; Contents of value: ; %fystemRoot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\wuauserv] ; Contents of value: ; %fystemroot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] ; Contents of value: ; %fystemRoot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] ; Contents of value: ; %fystemroot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 ; End Of The Log... я во всех этих директориях "f" поменял на "s" ( systemroot) это все?) Изменено 21 мая, 2009 пользователем nRg Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 21 мая, 2009 Поделиться Опубликовано 21 мая, 2009 Если работает, все исправили, лечение можно считать завершенным Ссылка на комментарий Поделиться на другие сайты Поделиться
nRg Опубликовано 21 мая, 2009 Автор Поделиться Опубликовано 21 мая, 2009 В таком случае благодарю всех господ, которые оказали своевременную помощь). Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти