-
полседствия СМС довнлоад мастер
Вирус выдающий сообщение о СМС с кодом К705113900 на номер 4460 вылечен касперским на другом компьютере. после возрврата винта на родную машину, она стала запускаться. Но нет - диспечера задач, вкладки "Востановление системы" и др.
Не запускается установка антивируса Касперского.
Последний раз редактировалось problem; 06.12.2010 в 13:13.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сделайте логи по правилам, разберемся.
I am not young enough to know everything...
-
-
На проблемном компьютере инет пока не включал.
-
Обновите базы AVZ и сделайте логи, как описано в разделе Диагностика правил.
I am not young enough to know everything...
-
-
-
1. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\wuvwtl.dll','');
DeleteFile('C:\WINDOWS\system32\wuvwtl.dll');
DelCLSID('{67KLN5J0-4OPM-33WE-AAX5-34KC2A3452432}');
DelCLSID('{67KLN5J0-4OPM-00WE-AAX5-74CC3A322132}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
QuarantineFile('C:\RECYCLED\BIN\ok.exe','');
QuarantineFile('C:\Driver\Files\driver.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\setup.exe','');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\setup.exe');
DeleteFile('C:\Driver\Files\driver.exe');
DeleteFile('C:\RECYCLED\BIN\ok.exe');
DeleteFileMask('C:\RESTORE', '*.*', true);
DeleteDirectory('C:\RESTORE');
DeleteFileMask('C:\Driver', '*.*', true);
DeleteDirectory('C:\Driver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
>> Заблокированы настройки системы System Restore
Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить
3. Пуск - Выполнить - regedit
Щелкая по плюсикам, доберитесь в ветку
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Найдите в правой части параметр AppInit_DLLs и удалите в нем упоминания о C:\WINDOWS\system32\wuvwtl.dll
4. Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Последний раз редактировалось problem; 06.12.2010 в 13:13.
-
Выполните скрипт в avz
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Movie Maker\tepoafp.dll','');
QuarantineFile('C:\WINDOWS\system32\qbjrpl.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aabxxhsc.SYS','');
QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
DeleteFile('C:\WINDOWS\system32\jspWin.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\aabxxhsc.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Запустите Gmer. Нажмите на кнопку «>>>» для отображения дополнительных функций программы. Выбрать вкладку CMD. В верхнее окно скопируйте текст ниже и запустите (Run)
Код:
wtbw68kx.exe -del service Trkauto
wtbw68kx.exe -del service txthvzpr
wtbw68kx.exe -del file "C:\WINDOWS\system32\qbjrpl.dll"
wtbw68kx.exe -del file "C:\Program Files\Movie Maker\tepoafp.dll"
wtbw68kx.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\Trkauto"
wtbw68kx.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\txthvzpr"
wtbw68kx.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\Trkauto"
wtbw68kx.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\txthvzpr"
wtbw68kx.exe -reboot
Сделайте новый лог gmer.
Сделайте новые логи.
-
-
Сделал новый лог gmer + новые логи
Сделал новый лог gmer + новые логи.
Карантин загрузил
Последний раз редактировалось problem; 06.12.2010 в 13:13.
-
Чисто.Что с проблемой ?
Установите SP3(может потребоваться активация)+все последующие обновления
-
-
Всем спасибо!
Буду пробовать ставить софт и обновления
Добавлено через 4 минуты
Касперский не ставиться. Идет распаковка и все. Что делать?
Последний раз редактировалось problem; 02.01.2010 в 20:13.
Причина: Добавлено
-
Касперский не ставиться. Идет распаковка и все. Что делать?
Попробуйте скачать новый дистрибутив.
-
-
"Зоркий глаз" , NOD32 не ставиться. Окно ошибки для NOD32 во вложении.
Какие мысли?
Последний раз редактировалось problem; 02.01.2010 в 21:00.
-
-
-
Пока идет сканирование, для информации - не удается зайти в безопасній режим. Выдается сообщение "нажмите ESC для прекращения загрузки SPTD.SYS" и при любом нажатиии или нет, загрузка прекращается.
-
Сообщение от
snifer67
Лог сделан.
-
Удалите в МВАМ
Код:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5j0-4opm-00we-aax5-74cc3a187132} (Generic.Bot.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5j0-4opm-00we-aax5-74cc3a187132} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{67kln5j0-4opm-33we-aax5-34kc2a3452432} (Worm.AutoRun) -> No action taken.
Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
Заражено папок:
C:\RECYCLED\BIN (Worm.AutoRun) -> No action taken.
C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013 (Backdoor.IRCBot) -> No action taken.
C:\SYSTEM\G-923-321232-3232-32211-23 (Backdoor.Bot) -> No action taken.
Заражено файлов:
C:\RECYCLED\BIN\Desktop.ini (Worm.AutoRun) -> No action taken.
C:\SYSTEM\G-923-321232-3232-32211-23\Desktop.ini (Backdoor.Bot) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Изменения есть
Установил "Зоркий глаз"
Касперский версии 7.325 установить не удается
Прилагаю свежие логи
-
Прежде чем ставить антивирус удалите остальные антивирусные продукты из системы http://virusinfo.info/showthread.php?t=16646
В логе виден drweb и avast.
Выполните скрипт в AVZ:
Код:
begin
ExecuteWizard('TSW',3,3,true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.
Теперь можете удалять и "Зоркий глаз", уже не пригодиться.
-
-
Решение найдено.
Установлено, что распакованный антивирус Касперского устанавливается, если его запустить из другой папки, или другого диска. Но не работает после перезагрузки.
При попытке ручного запуска AVP.EXE появляется сообщение «Невозможно открыть данную программу из-за политики ограниченного применения программного обеспечения. За дополнительной информацией обратитесь системному администратору или откройте "Просмотр событий"».
Через журнал событий найден код соотвествующий этой ситуации, а затем в regedit найдены ключи отвечающие за каждую папку.
В моем случае это аказались:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{140E411A-64BC-4CD2-9155-69CED391C6ED}
C:\Documents and Settings\All Users\Application Data\Symantec
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{82A0F9AC-5B90-4B92-95CE-B0E2F97C33AD}
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{9B9B928A-8E47-454A-A313-104AE8479BFC}
C:\Program Files\Common Files\Symantec Shared
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{C86F7D35-2CB8-4CBC-8FB1-4B9606B35B12}
C:\Documents and Settings\All Users\Application Data\ESET
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{D8E875C3-B0A1-4822-9EB8-ED3ED1326D96}
C:\Program Files\ESET
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths\{FE47353F-54F5-4C73-BCB5-E2E22865FBF5}
C:\Program Files\Symantec
Всем спасибо за содействие!