MaDW Posted January 17, 2010 Report Share Posted January 17, 2010 (edited) На машине были звери. Их удалили. Тем не менее касперский ставится отказывается. Да... regedit не запускается По логам там возикло несколько вопросов, но пристрелить строчки автозапуска нет возможности :) log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip Edited January 17, 2010 by MaDW Quote Link to comment Share on other sites More sharing options...
edde Posted January 17, 2010 Report Share Posted January 17, 2010 (edited) Здравстауйте, выполните скрипт авз beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017518.sys','');QuarantineFile('C:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017515.sys','');QuarantineFile('C:\Program Files\KAV_Portable_8.0.0.506_En-Fr-Ru\KAV8Portable.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\eohnfjsfjvx.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');QuarantineFile('C:\WINDOWS\System32\drivers\7b208d8f.sys','');QuarantineFile('C:\WINDOWS\System32\drivers\3657ea15.sys','');QuarantineFile('%fystemRoot%\system32\svchost.exe','');QuarantineFile('C:\WINDOWS\system32\12520850r.exe','');QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');QuarantineFile('C:\WINDOWS\system32\servises.exe','');DeleteFile('C:\WINDOWS\system32\servises.exe');DeleteFile('C:\WINDOWS\system32\sdra64.exe');DeleteFile('C:\WINDOWS\system32\12520850r.exe');DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');DeleteFile('C:\WINDOWS\system32\drivers\eohnfjsfjvx.sys');DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');DeleteFile('C:\WINDOWS\System32\drivers\7b208d8f.sys');DeleteFile('C:\WINDOWS\System32\drivers\3657ea15.sys');DeleteFile('C:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017515.sys');DeleteFile('C:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017518.sys');BC_ImportALL;ExecuteSysClean;BC_DeleteSvc('fips32cup');BC_DeleteSvc('systemntmi');BC_DeleteSvc('nicsk32');BC_DeleteSvc('imnknqzaxxglgsy');BC_DeleteSvc('7b208d8f');BC_DeleteSvc('3657ea15');BC_DeleteSvc('NetDDECOMSysApp');BC_Activate;ExecuteRepair(6);ExecuteRepair(9);ExecuteRepair(19);RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. Доверенные зоны ие сами устанавливали? Повторите логи Edited January 17, 2010 by edde Quote Link to comment Share on other sites More sharing options...
MaDW Posted January 17, 2010 Author Report Share Posted January 17, 2010 QuarantineFile('C:\Program Files\KAV_Portable_8.0.0.506_En-Fr-Ru\KAV8Portable.exe',''); QuarantineFile('C:\Program Files\KAV_Portable_8.0.0.506_En-Fr-Ru\KAV8Portable.exe',''); :) Эт мое Доверенные зоны ие сами устанавливали? нет, машина клиентов. Повторите логи Пожалуста. К стати первый скрипт выполнился с ошибками. Какие именно не увидел, но красные строчки там проскакивали. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Quote Link to comment Share on other sites More sharing options...
edde Posted January 17, 2010 Report Share Posted January 17, 2010 MaDW :) по нолям KAV8Portable.exe Эт мое я вижу :) Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Quote Link to comment Share on other sites More sharing options...
MaDW Posted January 17, 2010 Author Report Share Posted January 17, 2010 Готово ComboFix.txt ComboFix.txt Quote Link to comment Share on other sites More sharing options...
edde Posted January 17, 2010 Report Share Posted January 17, 2010 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. временно выключите антивирус, firewall и другое защитное программное обеспечение KillAll::File::C:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017518.sysC:\System Volume Information\_restore{9EC6EC3A-96A8-4BE9-9D9E-561DD7BAB590}\RP92\A0017515.sysC:\WINDOWS\system32\12520850r.exeC:\WINDOWS\System32\drivers\3657ea15.sysC:\WINDOWS\System32\drivers\7b208d8f.sysC:\WINDOWS\system32\drivers\fips32cup.sysC:\WINDOWS\system32\drivers\eohnfjsfjvx.sysC:\WINDOWS\system32\drivers\nicsk32.sysC:\WINDOWS\system32\drivers\systemntmi.sysC:\WINDOWS\system32\sdra64.exeDriver::C:\WINDOWS\System32\drivers\3657ea15.sysC:\WINDOWS\System32\drivers\7b208d8f.sysC:\WINDOWS\system32\drivers\fips32cup.sysC:\WINDOWS\system32\drivers\eohnfjsfjvx.sysC:\WINDOWS\system32\drivers\nicsk32.sysC:\WINDOWS\system32\drivers\systemntmi.sysReboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Quote Link to comment Share on other sites More sharing options...
MaDW Posted January 17, 2010 Author Report Share Posted January 17, 2010 Есть. Да... Каспер установился еще после предыдущего действия :) ComboFix.txt ComboFix.txt Quote Link to comment Share on other sites More sharing options...
edde Posted January 17, 2010 Report Share Posted January 17, 2010 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/img] Логи авз повторите Quote Link to comment Share on other sites More sharing options...
MaDW Posted January 17, 2010 Author Report Share Posted January 17, 2010 Есть. virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Quote Link to comment Share on other sites More sharing options...
edde Posted January 17, 2010 Report Share Posted January 17, 2010 Не те логи, это логи из третьего поста :) очистите папку от предыдущих. Quote Link to comment Share on other sites More sharing options...
MaDW Posted January 17, 2010 Author Report Share Posted January 17, 2010 :) секунду вот virusinfo_syscheck.zip virusinfo_syscheck.zip Quote Link to comment Share on other sites More sharing options...
edde Posted January 17, 2010 Report Share Posted January 17, 2010 (edited) В логе ничего вредоносного не вижу скачайте http://www.freedrweb.com/cureit/ запустите проведите сканирование для очистки совести как самочувствие? Edited January 17, 2010 by edde Quote Link to comment Share on other sites More sharing options...
MaDW Posted January 17, 2010 Author Report Share Posted January 17, 2010 Самочуствие нормальное. Этот тестер и до лечения ничего не находил :) Обновлю ка я еще систему до 3-го сервис-пака. А то языковая панель куда-то делась :) Quote Link to comment Share on other sites More sharing options...
edde Posted January 17, 2010 Report Share Posted January 17, 2010 (edited) Тогда MBAM не забудьте обновить базы :) Систему обновите обязательно Edited January 17, 2010 by edde Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.