-
Junior Member
- Вес репутации
- 55
Не запускается мастер настройки KAV/KIS
Здравствуйте!
Простите, если похожие проблемы уже были решены универсально, но я не решился тестировать скрипты из других тем на своей машине.
Предыстория такова:на домашнем ПК был обнаружен червь Kido, autorun.inf и какой-то Trojan.Downloader, все было вычищено соответствующими утилитами с сайта Касперского, после этого в безопасном режиме на настройках максимальной безопасности были прогнаны AVP Tool и Dr.Web CureIt!, был найден BackDoor 3119 и Trojan.Mycentria. Вручную были исправлены в реестре ветки, из-за которых было отключено показывание скрытых файлов и папок. Также на момент заражения не были доступны сайты, связанные с информационной безопасностью, сейчас этого нет, но вместо ошибок 404 при вводе неправильного адреса в строке браузера появляется подобное
jar:file:///C:/Program%20Files/Mozilla%20Firefox/chrome/ru.jar!/locale/browser-region/region.propertieskarbb.ru
плюс иногда при загрузке новой страницы происходят произвольные редиректы на сайт rusnets точка ру.
Сейчас после установки любого продукта Касперского не запускается мастер настройки и сам Касперский. также не с первого раза запустился Hijackthis, даже с переименованным экзешником.
Появилась проблема с русскими шрифтами в некоторых локализованных лицензионных продуктах(в частности, игра Mass Effect).
в соответствии с правилами выкладываю логи.
Заранее большое спасибо за помощь!и, пожалуйста, скажите, если для решения каких-то из вышеперечисленных проблем требуется переустановка ОС.
Последний раз редактировалось Straighthate; 02.12.2009 в 16:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\gxvxctaivkytkucukyomeoonmdqruufytgjig.dll','');
QuarantineFile('\\?\globalroot\systemroot\system32\gxvxcnbppupacvitkbgrmmnepwewmuarhedow.dll','');
DeleteFile('\\?\globalroot\systemroot\system32\gxvxcnbppupacvitkbgrmmnepwewmuarhedow.dll');
DeleteFile('\\?\globalroot\systemroot\system32\gxvxctaivkytkucukyomeoonmdqruufytgjig.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
такой лог сделайте http://www.gmer.net/
-
-
Junior Member
- Вес репутации
- 55
выполнил скрипт, по завершении получил сообщение о выполнении скрипта без ошибок, однако после перезагрузки при просмотре карантин был пуст, хотя папка с датой и временем была создана. требуется ли загрузка в безопасном режиме для карантина этих файлов?
лог Gmer прилагаю.
Последний раз редактировалось Straighthate; 02.12.2009 в 16:31.
-
сохраните содержимое как 1.bat в каталоге со gmer запустите и повторите последний лог
Код:
gmer.exe -del service gxvxcserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcawyktpptqgpejawmvbmqdxmnkcxxsroe.sys"
gmer.exe -del file "C:\WINDOWS\system32\gxvxctaivkytkucukyomeoonmdqruufytgjig.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@imagepath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@group"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcserv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\modules@gxvxcl"
gmer -reboot
-
-
Junior Member
- Вес репутации
- 55
при исполнении бат-файла были выданы следующие сообщения:
на строку
gmer.exe -del file "C:\WINDOWS\system32\gxvxctaivkytkucukyomeoonmdqru ufytgjig.dll"
что-то наподобие "ошибка 000000x0002. файл не найден"
на строки
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@ start"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@ type"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@ imagepath"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys@ group"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\ modules"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\ modules@gxvxcserv"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys\ modules@gxvxcl"
повторяющиеся сообщения "модуль не найден".
Основные проблемы решились после перезагрузки, в частности, запуск мастера настройки и проблемы со шрифтами. Большое спасибо!
К сожалению, осталась проблема со строками в браузере а ля
jar:file:///C:/Program%20Files/Mozilla%20Firefox/chrome/ru.jar!/locale/browser-region/region.propertiesgtyrr.ru
можно ли её как-нибудь решить? также прикладываю повторный лог Gmer. во время сканирования было снова предупреждение о рутките.
Последний раз редактировалось Straighthate; 02.12.2009 в 16:31.
-
еще раз ....
Код:
gmer.exe -del service gxvxcserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcpfjoawvieexylqbrpdmdimliqfpbcxvh.sys"
gmer.exe -del file "C:\WINDOWS\system32\gxvxcrsmnvppwsrrdkbwujkyfqqmdievxbuer.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@start "
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@type "
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@group "
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys@imagepath "
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules "
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcserv"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys\modules@gxvxcl"
gmer -reboot
-
-
Скачайте AVZ который у меня в подписи и далее работайте только с ним!
Выполните скрипт в AVZ:
Код:
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
Повторите логи...
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
выполнил второй набор команд для бат-файла, система опять ругалась на файлы и модули(скрин в приложениях). После перезагрузки Gmer при повторном сканировании ничего уже не нашел. Проблема с синтаксисом в строке браузера осталась.
Aleksandra, выполнил ваш скрипт, логи с вашей версии AVZ выложил.
Последний раз редактировалось Straighthate; 02.12.2009 в 16:31.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\TEMP\*.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=46344
3. Очистите задания планировщика задач.
4. Повторите лог virusinfo_syscheck.
Последний раз редактировалось Aleksandra; 23.05.2009 в 05:58.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
все сделал, карантин прислал.
Очистить задания планировщика задач как?в Назначенных заданиях нет ничего -_-
лог прилагаю.
Последний раз редактировалось Straighthate; 02.12.2009 в 16:31.
-
tempo-1215031.tmp - Trojan.Click.26013
Предыдущий скрипт изменила. Выполните его. Карантин уже не нужен.
Проверьте что в C:\WINDOWS\Tasks
Добавлено через 59 секунд
Повторите лог virusinfo_syscheck.
Последний раз редактировалось Aleksandra; 23.05.2009 в 06:01.
Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 55
в Tasks пусто. повторяю лог
Последний раз редактировалось Straighthate; 02.12.2009 в 16:31.
-
Проблема не решилась. Пока скачайте Dr.Web CureIt и сделайте им полную проверку всех дисков. Все что найдет - удаляйте. После повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\temp\tempo-1215031.tmp - Trojan-Clicker.Win32.Agent.hmf ( DrWEB: Trojan.Click.26013 )
-