Junior Member
Вес репутации
59
Не могу даже установить антивирус Касперского
Дистрибутив скачала на работе (ну купила, конечно, сама), т.к. дома из интернета не грузится уже ничего кроме Rambler. Начинаю установку, прохожу 4 шага нормально, потом вместо 5-го мастер выдает: несовместимое ПО, установлено приложение dr.Web Antivirus 4.33. А я эту программу установленной нигде не нахожу. Ни через панель управления, ни через меню программы. Нажимаю кнопку "Далее", выскакивает табличка: "Подготовка к установке, нажмите установить". Нажимаю, появляется: "начало установки", потом быстро гаснет и выскакивает табличка: "для продолжения установки необходимо перезагрузить компьютер. Выполнить перезагрузку сейчас?". Если нажимаю - да, перезагружается комп, снова начинается установка и так по кругу. Если нажать -нет, просто прерывается программа установки. Четыре файла, записанные по правилам, прикладываю. Заранее Вас благодарю!
Последний раз редактировалось ElenaBlokh; 08.05.2008 в 14:44 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\Temp\2.tmp','');
QuarantineFile('C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE','');
QuarantineFile('C:\WINDOWS\system32\IntEdReg.exe','');
QuarantineFile('c:\windows\system32\nwprovau.dll','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\sv32_0.exe','');
QuarantineFile('globalroot\systemroot\system32\drivers\clbdriver.sys','');
QuarantineFile('C:\WINDOWS\xmlmimefilter.dll','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
QuarantineFile('autorun.bat','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\FEn7cgUT.exe','');
QuarantineFile('C:\WINDOWS\libor.exe','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('c:\windows\system32\wininet.exe','');
QuarantineFile('c:\windows\msauc.exe','');
DeleteFile('c:\windows\system32\wininet.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temp\sv32_0.exe');
DeleteFile('C:\WINDOWS\Temp\2.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=22486
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EZ Memo Booster] C:\Program Files\EZ Memo Booster\Ezmemo.exe
O4 - HKLM\..\Run: [Intense Registry Service] IntEdReg.exe /CHECK
O4 - HKLM\..\Run: [System] C:\WINDOWS\FEn7cgUT.exe
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe
O4 - HKCU\..\Run: [WinFixer2006] C:\Program Files\WinFixer_2006\uwfx6.exe /scan
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [EZ Memo Booster] "C:\Program Files\EZ Memo Booster\ez_memo.exe"
O4 - HKUS\S-1-5-18\..\Run: [libor] C:\WINDOWS\libor.exe (User 'SYSTEM')
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZUxdm082YYUS
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/MyFunCardsFWBInitialSetup1.0.0.15-3.cab
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\xmlmimefilter.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
Исходя из
Сообщение от
whois
[host_ip] => 207.226.45.245
[host_name] => vpn-proxy.spectrumsat.net
Эти параметры прописаны для работы VPN
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E8971B4-2755-4CB4-8CF0-CA7295719B33}: NameServer = 207.226.45.245,207.226.45.243
Последний раз редактировалось Kuzz; 06.05.2008 в 08:56 .
The worst foe lies within the self...
Junior Member
Вес репутации
59
Большое Вам спасибо за быстрый ответ. У меня почему-то нет нескольких строк:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat,C:\WINDOWS\syste m32\ntos.exe,
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...1.0.0.15-3.cab
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
А что надо сделать с VPN?
Junior Member
Вес репутации
59
Логи повторите
Это что значит? Еще раз прислать или еще раз сделать?
Еще раз сделать,а потом прислать
Junior Member
Вес репутации
59
Junior Member
Вес репутации
59
Последний раз редактировалось ElenaBlokh; 08.05.2008 в 14:44 .
Пофиксите:
Код:
O4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
Это адвари. Деинсталируйте их.
Код:
207.226.45.245
Address: 450 Springpark PL
Address: Suite 100
207.226.45.243
Address: 450 Springpark PL
Address: Suite 100
Адреса знакомы?
Выполните скрип, после перезагрузки карантин по правилам.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\drivers\clbdriver.sys','');
QuarantineFile('C:\WINDOWS\xmlmimefilter.dll','');
QuarantineFile('C:\Poker\Titan Poker\casino.exe','');
QuarantineFile('C:\WINDOWS\libor.exe','');
QuarantineFile('C:\Program Files\TerraGame\tbTer0.dll','');
DeleteFile('C:\WINDOWS\libor.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Запустите в АВЗ Мастер поиска и устранения проблем (Файл - мастер) устраните:
>> Нарушение ассоциации LNK файлов
>> Таймаут завершения служб находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
Последний раз редактировалось Alex_Goodwin; 06.05.2008 в 15:30 .
Junior Member
Вес репутации
59
Если можно, поподробнее, как деинсталировать адвари?
Установка и удаление программ либо через их uninstaller в их папке..
Добавлено через 25 секунд
Либо мы удалим их скриптом.
Последний раз редактировалось Alex_Goodwin; 06.05.2008 в 16:10 .
Причина: Добавлено
Junior Member
Вес репутации
59
Доброе утро, все сделала, карантин послала. Адреса знакомы, OpenVPN их использует
clbdriver.sys - Rootkit.Win32.Agent.aii
libor.exed - Trojan-Downloader.Win32.Cntr.w
Junior Member
Вес репутации
59
Junior Member
Вес репутации
59
Вложения
1. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\windows\system32\drivers\clbdriver.sys');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
2. Повторите логи.
Последний раз редактировалось Alex_Goodwin; 07.05.2008 в 14:52 .
Причина: по другому не сработает
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
59
Все сделала. Высылаю логи. Касперский по-прежнему не устанавливается, но у меня стали грузиться странички в интернете!!! Ребята, какие же вы молодцы!!! А то я гоняла с логами из дома на работу и обратно
Вложения
Junior Member
Вес репутации
59
Все сделала. Высылаю логи. Касперский по-прежнему не устанавливается, но у меня стали грузиться странички в интернете!!! Ребята, какие же вы молодцы!!! А то я гоняла с логами из дома на работу и обратно
А что при установке выдает Касперский?
Сердце решает кого любить... Судьба решает с кем быть...