MaDW Опубликовано 17 января, 2010 Жалоба Поделиться Опубликовано 17 января, 2010 (изменено) На машине были звери. Их удалили. Тем не менее касперский ставится отказывается. Да... regedit не запускается По логам там возикло несколько вопросов, но пристрелить строчки автозапуска нет возможности :) log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 17 января, 2010 пользователем MaDW Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 января, 2010 Жалоба Поделиться Опубликовано 17 января, 2010 (изменено) Здравстауйте, выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017518.sys','');QuarantineFile('C:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017515.sys','');QuarantineFile('C:\Program Files\KAV_Portable_8.0.0.506_En-Fr-Ru\KAV8Portable.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\eohnfjsfjvx.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');QuarantineFile('C:\WINDOWS\System32\drivers\7b208d8f.sys','');QuarantineFile('C:\WINDOWS\System32\drivers\3657ea15.sys','');QuarantineFile('%fystemRoot%\system32\svchost.exe','');QuarantineFile('C:\WINDOWS\system32\12520850r.exe','');QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('C:\WINDOWS\system32\servises.exe','');DeleteFile('C:\WINDOWS\system32\servises.exe');DeleteFile('C:\WINDOWS\system32\sdra64.exe');DeleteFile('C:\WINDOWS\system32\12520850r.exe');DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');DeleteFile('C:\WINDOWS\system32\drivers\eohnfjsfjvx.sys');DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');DeleteFile('C:\WINDOWS\System32\drivers\7b208d8f.sys');DeleteFile('C:\WINDOWS\System32\drivers\3657ea15.sys');DeleteFile('C:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017515.sys');DeleteFile('C:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017518.sys');BC_ImportALL;ExecuteSysClean;BC_DeleteSvc('fips32cup');BC_DeleteSvc('systemntmi');BC_DeleteSvc('nicsk32');BC_DeleteSvc('imnknqzaxxglgsy');BC_DeleteSvc('7b208d8f');BC_DeleteSvc('3657ea15');BC_DeleteSvc('NetDDECOMSysApp');BC_Activate;ExecuteRepair(6);ExecuteRepair(9);ExecuteRepair(19);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. Доверенные зоны ие сами устанавливали? Повторите логи Изменено 17 января, 2010 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
MaDW Опубликовано 17 января, 2010 Автор Жалоба Поделиться Опубликовано 17 января, 2010 QuarantineFile('C:\Program Files\KAV_Portable_8.0.0.506_En-Fr-Ru\KAV8Portable.exe',''); QuarantineFile('C:\Program Files\KAV_Portable_8.0.0.506_En-Fr-Ru\KAV8Portable.exe',''); :) Эт мое Доверенные зоны ие сами устанавливали? нет, машина клиентов. Повторите логи Пожалуста. К стати первый скрипт выполнился с ошибками. Какие именно не увидел, но красные строчки там проскакивали. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 января, 2010 Жалоба Поделиться Опубликовано 17 января, 2010 MaDW :) по нолям KAV8Portable.exe Эт мое я вижу :) Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Ссылка на комментарий Поделиться на другие сайты Поделиться
MaDW Опубликовано 17 января, 2010 Автор Жалоба Поделиться Опубликовано 17 января, 2010 Готово ComboFix.txt ComboFix.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 января, 2010 Жалоба Поделиться Опубликовано 17 января, 2010 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение KillAll::File::C:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017518.sysC:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017515.sysC:\WINDOWS\system32\12520850r.exeC:\WINDOWS\System32\drivers\3657ea15.sysC:\WINDOWS\System32\drivers\7b208d8f.sysC:\WINDOWS\system32\drivers\fips32cup.sysC:\WINDOWS\system32\drivers\eohnfjsfjvx.sysC:\WINDOWS\system32\drivers\nicsk32.sysC:\WINDOWS\system32\drivers\systemntmi.sysC:\WINDOWS\system32\sdra64.exeDriver::C:\WINDOWS\System32\drivers\3657ea15.sysC:\WINDOWS\System32\drivers\7b208d8f.sysC:\WINDOWS\system32\drivers\fips32cup.sysC:\WINDOWS\system32\drivers\eohnfjsfjvx.sysC:\WINDOWS\system32\drivers\nicsk32.sysC:\WINDOWS\system32\drivers\systemntmi.sysReboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
MaDW Опубликовано 17 января, 2010 Автор Жалоба Поделиться Опубликовано 17 января, 2010 Есть. Да... Каспер установился еще после предыдущего действия :) ComboFix.txt ComboFix.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 января, 2010 Жалоба Поделиться Опубликовано 17 января, 2010 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/img] Логи авз повторите Ссылка на комментарий Поделиться на другие сайты Поделиться
MaDW Опубликовано 17 января, 2010 Автор Жалоба Поделиться Опубликовано 17 января, 2010 Есть. virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 января, 2010 Жалоба Поделиться Опубликовано 17 января, 2010 Не те логи, это логи из третьего поста :) очистите папку от предыдущих. Ссылка на комментарий Поделиться на другие сайты Поделиться
MaDW Опубликовано 17 января, 2010 Автор Жалоба Поделиться Опубликовано 17 января, 2010 :) секунду вот virusinfo_syscheck.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 января, 2010 Жалоба Поделиться Опубликовано 17 января, 2010 (изменено) В логе ничего вредоносного не вижу скачайте http://www.freedrweb.com/cureit/ запустите проведите сканирование для очистки совести как самочувствие? Изменено 17 января, 2010 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
MaDW Опубликовано 17 января, 2010 Автор Жалоба Поделиться Опубликовано 17 января, 2010 Самочуствие нормальное. Этот тестер и до лечения ничего не находил :) Обновлю ка я еще систему до 3-го сервис-пака. А то языковая панель куда-то делась :) Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 17 января, 2010 Жалоба Поделиться Опубликовано 17 января, 2010 (изменено) Тогда MBAM не забудьте обновить базы :) Систему обновите обязательно Изменено 17 января, 2010 пользователем edde Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти