нужна помощь

[nariko]

у меня проблема. стоял Антивирус Касперского 6.0 для Windows Workstations.

в один прекрысный ень он не включился при загрузке компа, а попытался включить его в ручную, но на это комп отреагировал перерузкой и так повторяеться всегда. и ещё иногда вылетает IE и выталкивает меня на какойто японский сайт толи на корейский, ну эрогливами.

скачал cureit. проверился им в безопаснов режиме. на каждый раз он находит одни и теже файлы(вирусы) и делает с ними одну и туже операцию.

скачал AVZ, как и написано они не включаються, также хотел устоновить dr.web тоже самое, появляеться окно и сразу же исчезает.

скачал IceSword происходит тоже самое появляеться окно программы и исчезает.

скачал HijackThis установил, но при тыкании по нужной кнопке указанной в правилах раздела, выдается ошибка при сохраниние логов она зависает. это единственная прога которая хотя бы включается) ед что смог сделать по скринить логи и прикрепить их

переименование этих программ не помогает.

____.rar

____.rar

[nariko]

в обычный безопасный режим не входит, комп перезагружаеться.

я зашёл в "Восстановление службы каталогов (только на контроллере домена Windows)

[nariko]

HijackThis зависает и выдаёт логи

HijackThis выдаёт такую ошибку и зависает

Please help us improve HijackThis by reporting this error

Click 'Yes' to submit

Error Details:

An unexpected error has occurred at procedure: modMain_CheckOther1Item()

Error #70 - Permission denied

Windows version: Windows NT 5.01.2600

MSIE version: 6.0.2900.2180

HijackThis version: 2.0.2

HijackThis выдаёт такую ошибку и зависает

Please help us improve HijackThis by reporting this error

Click 'Yes' to submit

Error Details:

An unexpected error has occurred at procedure: modMain_CheckOther1Item()

Error #70 - Permission denied

Windows version: Windows NT 5.01.2600

MSIE version: 6.0.2900.2180

HijackThis version: 2.0.2

не выдаёт логи

[Pili]

Попробуйте сделать логи AVZ с этой версией AVZ

Скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования запакуйте и вложите C:\Report.txt в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол

Не забудьте установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2)) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.

1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, скопируйте текст из файлов log.txt и info.txt в следующее сообщение или запакуйте эти файлы и прикрепите архив.

[nariko]

AVZ скачать не смог, постоянная ошибка

остальное выше перечисленное сделал, логи прикреплены.

logs.rar

logs.rar

[akoK]

Еще одна верся AVZ

[nariko]

после проделанной выше работы AVZ скачаное рание начало запускать и HiJackThis тоже, логи прикреплены.

log.rar

log.rar

[akoK]

Отключите востановление системы, обновите базы AVZ

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\Installer\163300e.msi','');QuarantineFile('C:\WINDOWS\stmtrace.exe','');QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');DeleteService('Winlr15');DeleteService('EventSystemNetDDEdsdm');DeleteFile('C:\WINDOWS\System32\drivers\Winlr15.sys');DeleteFile('C:\WINDOWS\system32\dnsq.dll');BC_ImportALL;BC_DeleteSvc('EventSystemNetDDEdsdm');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll 

Повторите логи

Изменено 7 октября, 2008 пользователем akoK

[nariko]

при попытки обновления AVZ выдаёт такую ошибку

Automatic update erroe - Error loading control file avzupd.zip from http//www.z-oleg.com/secur/avz_up/[21,0000002]

я сделал это не обнолёным AVZ

его уже небыло

O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll

логи прекреплены quarantine.zip ушёл на почту

log.rar

log.rar

[Pili]

nariko: Попробуйте в AVZ - стандартные скрипты - п.6, перезагрузится и выполнить обновление баз.

Очистите временные файлы с помощью ATF Cleaner или через Пуск-Программы-Стандартные-Служебные-Очистка диска

Выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\HideWin.exe','');QuarantineFile('C:\WINDOWS\system32\Com\smss.exe','');QuarantineFile('C:\WINDOWS\system32\Com\netcfg.dll','');QuarantineFile('C:\WINDOWS\system32\Com\lsass.exe','');QuarantineFile('C:\WINDOWS\system32\AntiTool.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\alg.exe','');QuarantineFile('J:\oufddh.exe','');QuarantineFile('J:\sxs.exe','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\Winbc54.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\Winme01.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\Winmg40.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\Winol37.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\Winqs71.sys','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\Winwk03.sys','');DeleteFile('C:\WINDOWS\system32\DRIVERS\Winwk03.sys');DeleteFile('C:\WINDOWS\system32\DRIVERS\Winqs71.sys');DeleteFile('C:\WINDOWS\system32\DRIVERS\Winol37.sys');DeleteFile('C:\WINDOWS\system32\DRIVERS\Winmg40.sys');DeleteFile('C:\WINDOWS\system32\DRIVERS\Winme01.sys');DeleteFile('C:\WINDOWS\system32\DRIVERS\Winbc54.sys');DeleteFile('J:\oufddh.exe');DeleteFile('J:\sxs.exe');DeleteFile('C:\WINDOWS\system32\drivers\alg.exe');DeleteFile('C:\WINDOWS\system32\AntiTool.exe');DeleteFile('C:\WINDOWS\system32\Com\lsass.exe');DeleteFile('C:\WINDOWS\system32\Com\netcfg.dll');DeleteFile('C:\WINDOWS\system32\Com\smss.exe');DeleteService('Winbc54');DeleteService('Winme01');DeleteService('Winmg40');DeleteService('Winol37');DeleteService('Winqs71');DeleteService('Winwk03');BC_ImportAll;ExecuteSysClean;BC_Activate;RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin	CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему

удалите целиком в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\

или сохраните текст ниже как fix.reg и примените

REGEDIT4[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2b7952fb-55a6-11dd-8fe8-dfb39b1f45a0}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65c4eed8-6b53-11dd-9dce-001a4d62f94e}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67286aa3-134b-11dd-b640-001a4d62f94e}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67286bac-134b-11dd-b640-001a4d62f94e}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{68c88cf1-e94b-11dc-9769-001a4d62f94e}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{79638ab0-fbad-11dc-9794-001a4d62f94e}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bbc19ebd-603c-11dd-9271-d0f8892097d2}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d7bd3a9c-50b8-11dd-8dfe-001a4d62f94e}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df3ad398-8276-11dd-99b5-001a4d62f94e}]

Удалите Bonjour Service

Повторите логи AVZ, hijackthis и RSIT

i

Уведомление:

Ссылку поправил :dontgetit:

Изменено 8 октября, 2008 пользователем akoK

[akoK]

скачайте обновления авз архивом http://z-oleg.com/secur/avz_up/avzbase.zip ... затем распакуете ...

[nariko]

zip ушёл на почту, логи прекрепил

log.rar

log.rar

[Pili]

Лога RSIT нового нет. В карантин, кроме HideWin.exe (он чист), ничего не попало.

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('c:\windows\system32\setup_vf.exe','');QuarantineFile('C:\WINDOWS\system32\WinVd32.sys','');QuarantineFile('C:\WINDOWS\system32\WinFl32.sys','');QuarantineFile('C:\WINDOWS\system32\wgp_menu.exe','');CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end.

Файл quarantine2.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему

Изменено 10 октября, 2008 пользователем Pili

[nariko]

сделал, отправил

[Pili]

nariko: по virustotal файлы чистые, посмотрим что скажет вирлаб.

Пофиксите в hijackthis

R3 - URLSearchHook: (no name) -  - (no file)O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Как себя чувствует комп?

[nariko]

профиксил, замечательно) спасибо

[Pili]

nariko: из вирлаба до сих пор ответа нет, поэтому можете сами отправть файл quarantine2.zip на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите.