Manfred Опубликовано 18 марта, 2009 Жалоба Поделиться Опубликовано 18 марта, 2009 (изменено) Добрый день Уважаемые !!! Имею комп на котором слетел Касперрыч WS 5.0. Попытка переустановить ничего не дает, невозможно удалить klif.exe (и в защищенном режиме также). Оказалость также заблокирован реестр и диспетчер задач под администратором... это устранил с помощью gpedit, также удалил из реестра все, что относится к klif.exe. Запуск AVZ.exe с родным названием невозможен, только с переименованным exe-шником. Сидит троян...где-то сидит. Собрал все логи по инструкции и прошу помощи, очень прошу !!! i Уведомление:virusinfo_cure.zip - удалил, т.к. это карантин, а в теме нужен virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt virusinfo_syscheck.zip log.txt info.txt Изменено 18 марта, 2009 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
lumaks Опубликовано 18 марта, 2009 Жалоба Поделиться Опубликовано 18 марта, 2009 Было тоже самое, в отключке диспетчер и regedit! Попробуй почистить dr web . И еще, посмотри exe файлы, возможно они уже больше не установятся после проверки антивиром!!! Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 18 марта, 2009 Жалоба Поделиться Опубликовано 18 марта, 2009 (изменено) H:\Administrator.exe - известно, что это? 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\rjva.sys','');QuarantineFile('C:\WINDOWS\system32\~.exe','');QuarantineFile('C:\WINDOWS\system32\i775gt.dll','');QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wndutl32.dll','');DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wndutl32.dll');DeleteFile('C:\WINDOWS\system32\i775gt.dll');BC_ImportDeletedList;ExecuteSysClean;ExecuteRepair(11);ExecuteRepair(17);BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В письме укажите ссылку на тему. 2.Пофиксить в HijackThis следующие строчки ) O20 - Winlogon Notify: i775gt - i775gt.dll (file missing) Повторите логи. Изменено 18 марта, 2009 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
Manfred Опубликовано 19 марта, 2009 Автор Жалоба Поделиться Опубликовано 19 марта, 2009 Огромное спасибо за внимание и помощь !!! lumaks проверял dr web, ничего не видит. wise-wistful 1. H:\Administrator.exe не знаю что это - удалил сразу-же. 2. Все выполнил по скриптам, log-и повторил и прикрепил. 3. Отправил карантин по указанному адресу. 4. Пофиксил в HijackThis. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 19 марта, 2009 Жалоба Поделиться Опубликовано 19 марта, 2009 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\rjva.sys','');DeleteFile('C:\WINDOWS\system32\rjva.sys');DeleteFile('C:\WINDOWS\system32\~.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Повторите логи. Ссылка на комментарий Поделиться на другие сайты Поделиться
Manfred Опубликовано 19 марта, 2009 Автор Жалоба Поделиться Опубликовано 19 марта, 2009 Все выполнил по скрипту, log-и повторил и прикрепил. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Manfred Опубликовано 20 марта, 2009 Автор Жалоба Поделиться Опубликовано 20 марта, 2009 wise-wistful Большое спасибо за твою помощь за твою работу, я очень тебе признателен !!! После последнего скрипта смог установить KAV WS, обновить базы и долечить то что там оставалось. 2 день - пока полет нормальный. Осталась одна фишка, но думаю разберусь с помощью gpedit. Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 21 марта, 2009 Жалоба Поделиться Опубликовано 21 марта, 2009 Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) :Processesexplorer.exe:Services:Files:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f117a98a-12f3-11de-80dc-001fc61eb3af}]:Commands[purity][emptytemp][start explorer][Reboot] В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение. Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти