Типичный случай.Не устанавливается/запускается Касперский.Проблемы с доступом в интернет через эксплорер.
Помогите, пожалуйста.
Типичный случай.Не устанавливается/запускается Касперский.Проблемы с доступом в интернет через эксплорер.
Помогите, пожалуйста.
Последний раз редактировалось Mateo; 24.02.2010 в 08:51.
1. Пожалуйста, выполните скрипт AVZ:
В ходе выполнения скрипта компьютер перезагрузится.Код:begin QuarantineFile('ACDV.dll', 'CHQ=N'); QuarantineFile('appmgmts.dll', 'CHQ=N'); QuarantineFile('ocrusp.dll', 'CHQ=N'); QuarantineFile('C:\THE\DANCE\DeaTH.exe', 'CHQ=N'); QuarantineFile('C:\WINDOWS\SkyTel.EXE', 'CHQ=N'); QuarantineFile('C:\WINDOWS\tsnpstd3.exe', 'CHQ=N'); QuarantineFile('C:\WINDOWS\System32\appmgmts.dll', 'CHQ=N'); QuarantineFile('C:\WINDOWS\System32\appmgr.dll', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\XP-F7FD2548.EXE', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\drivers\iuhpfi.sys', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\drivers\massfilter.sys', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\ZTEusbmdm6k.sys', 'CHQ=N'); QuarantineFile('C:\WINDOWS\system32\DRIVERS\ZTEusbnmea.sys', 'CHQ=N'); QuarantineFile('C:\autorun.inf', 'CHQ=N'); QuarantineFile('C:\RECYCLER\S-1-5-21-1639504051-1109607785-730640891-4998\wingn.exe', 'CHQ=N'); QuarantineFile('C:\Program Files\Messenger\msmsgs.exe', 'CHQ=N'); BC_QrFile('C:\THE\DANCE\DeaTH.exe'); BC_QrFile('C:\WINDOWS\System32\appmgmts.dll'); BC_QrFile('C:\WINDOWS\System32\appmgr.dll'); BC_QrFile('C:\WINDOWS\system32\XP-F7FD2548.EXE'); BC_QrFile('C:\WINDOWS\system32\drivers\iuhpfi.sys'); BC_QrFile('C:\WINDOWS\system32\drivers\massfilter.sys'); BC_QrFile('C:\WINDOWS\system32\DRIVERS\ZTEusbmdm6k.sys'); BC_QrFile('C:\WINDOWS\system32\DRIVERS\ZTEusbnmea.sys'); BC_QrFile('C:\autorun.inf'); BC_QrFile('C:\RECYCLER\S-1-5-21-1639504051-1109607785-730640891-4998\wingn.exe'); ExecuteWizard('TSW', 3, 3, true); BC_Activate; RebootWindows(true); end.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean
Карантин выслал.Загрузку чистых файлов подготавливаю.Спасибо за быстрое реагирование.
Добавлено через 13 минут
Чистые файлы загрузил.Данные:
Файл сохранён как 100224_093017_virusinfo_files_CREDIT_4b84c77988c4d .zip
Размер файла 3699491
MD5 6d78563b57bdb80fcd570728315db218
Последний раз редактировалось Mateo; 24.02.2010 в 09:36. Причина: Добавлено
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\vsnpstd3.exe',''); QuarantineFile('C:\WINDOWS\tsnpstd3.exe',''); QuarantineFile('C:\WINDOWS\system32\XP-F7FD2548.EXE',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1639504051-1109607785-730640891-4998\wingn.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\iuhpfi.sys',''); StopService('abp470n5'); DeleteService('abp470n5'); DeleteFile('C:\WINDOWS\system32\drivers\iuhpfi.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-1639504051-1109607785-730640891-4998\wingn.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); DeleteFile('C:\autorun.inf'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог Gmer
Карантин выслал.
Лог GMER прикрепляю.
Касперский все еще не работает.
Сохраните текст ниже как 1.bat в ту же папку, где находится hsk3difi.exe (GMER) и запустите этот батник(1.bat):
Компьютер перезагрузитсяКод:hsk3difi.exe -del service haueuby hsk3difi.exe-del file "C:\WINDOWS\system32\qabdvfzu.dll" hsk3difi.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\haueuby\Parameters" hsk3difi.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\haueuby" hsk3difi.exe -del reg "HKLM\SYSTEM\CurrentControlSet002\Services\haueuby\Parameters" hsk3difi.exe -del reg "HKLM\SYSTEM\CurrentControlSet002\Services\haueuby" hsk3difi.exe -reboot
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте новый лог Gmer
Логи прикрепил.
Лог Gmer вышлю позже так-как это опять на 3 часа процедура.
1. Профиксите в HijackThis как "профиксить в HiJackThis"
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.Код:O4 - HKCU\..\Run: [Internet Security Service] C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe O4 - HKLM\..\Run: [XP-F7FD2548] C:\WINDOWS\system32\XP-F7FD2548.EXE
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Internet Security Service'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Добавлено через 2 минуты
поищите файл
, можете с помощью AVZ.Код:C:\WINDOWS\system32\XP-F7FD2548.EXE
AVZ => Сервис => Поиск файлов на диске. В поле "Параметры поиска" введите имя файла и нажмите на "Пуск"
найденный файл заархивируйте в zip архив с паролем и пришлите virus по ссылке Прислать запрошенный карантин вверху темы
Последний раз редактировалось polword; 24.02.2010 в 14:57. Причина: Добавлено
Примите логи и карантин.Лог Gmer был сделан до исполнения Ваших последних инструкций.Указанный файл что-то быстро не нашел. Попробую еще.
Карантин не загружается.Пишет- уже загружен.может переименовать?
Посмотрите - он не пустой?
Не пустой.Пишет, что файл с таким именем уже загружен, что ,собсвенно, так и есть, так-как я отсылал карантин до этого.
Касперский, кстати, запустился после удаления и повторной установки.
Большое спасибо всем кто помогал.Комп был изрядно убит вирусами, и я уже не особо надеялся на благополучный исход.Снова ваша победа
пришлите файл C:\WINDOWS\system32\XP-F7FD2548.EXE если он есть, как написано в посте №8. В остальном в логах чисто.
Добавлено через 2 минуты
вот это
- надо срочно обновитьWindows XP SP2
Internet Explorer v6.00 SP2
- SP2 обновите до Service Pack 3(может потребоваться активация)
- поставте все последние обновления системы Windows - тут
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
Добавлено через 46 секунд
пока не обновитесь, будете постоянным клиентом этого ресурса
Последний раз редактировалось polword; 24.02.2010 в 17:47. Причина: Добавлено
Файл отсутсвует.Уж не поэтому ли?
[QUOTE=polword;592818]1. Профиксите в HijackThis как "профиксить в HiJackThis"
Обновляюсь уже.Еще раз большое спасибо!Код:O4 - HKCU\..\Run: [Internet Security Service] C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe O4 - HKLM\..\Run: [XP-F7FD2548] C:\WINDOWS\system32\XP-F7FD2548.EXE
этим мы убрали его из автозапуска
после обновления сделайте новый комплект логов
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\autorun.inf - Trojan.Win32.AutoRun.aba ( BitDefender: Trojan.AutorunINF.Gen )
Уважаемый(ая) Mateo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.