Показано с 1 по 13 из 13.

Закрывается AVZ, не активируется каспер (заявка № 88573)

  1. #1
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    19
    Вес репутации
    27

    Закрывается AVZ, не активируется каспер

    Собственно, проверился с помощью drweb live cd - ничего не нашлось, делаю вывод route print - куча маршрутов вылазит. делаю route -f добавляю заново шлюз, каспер все равно не активируется. avz запускаю - сразу закрывается. если выгрузить explorer - запускается. так собственно и собрал логи...
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINDOWS\system32\irdsac.exe','');
     QuarantineFile('C:\WINDOWS\system32\7c337188.exe','');
     DeleteFile('C:\WINDOWS\system32\7c337188.exe');
     DeleteFile('C:\WINDOWS\system32\irdsac.exe');
     ClearHostsFile;
      if FileExists ('%windir%\system32\sfcfiles.dll') then
       begin
        if CheckFile('%windir%\system32\sfcfiles.dll')=3 then
           begin
             QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             QuarantineFile('%windir%\system32\mssfc.dll','');
             DeleteFile('%windir%\system32\drivers\sfc.sys');
             DeleteFile('%windir%\system32\mssfc.dll');
             AddToLog('%windir%\system32\sfcfiles.dll прошел по базе безопасных');
           end
          else
           begin
             AddToLog('%windir%\system32\sfcfiles.dll не прошел по базе безопасных');
             QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
             QuarantineFile('%windir%\system32\sfcfiles.dll','');
             QuarantineFile('%windir%\system32\mssfc.dll','');
             DeleteFile('%windir%\system32\drivers\sfc.sys');
             DeleteFile('%windir%\system32\mssfc.dll');
             RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
             if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
               begin
                if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
                  begin
                   CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                   AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
                  end
                 else
                  begin
                   AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
                   SaveLog('sfcfiles.log');
                   if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                     begin
                      if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                        begin
                         CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                         AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                        end
                       else
                        begin
                         AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                        end;
                     end
                    else
                     begin
                      AddToLog('Файл sfcfiles.dll отсутствует в i386');
                     end;
                  end;
               end
              else
               begin
                AddToLog('Файл sfcfiles.dll отсутствует в кеше');
                if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                  begin
                   if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                     begin
                      CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                      AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                     end
                   else
                    begin
                      AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                  end
                 else
                  begin
                   AddToLog('Файл sfcfiles.dll отсутствует в i386');
                  end;
               end;
             DeleteFile('%windir%\system32\sfcfiles.bak');
           end;
       end
      else
       begin
         AddToLog('файл sfcfiles.dll отсутствует в  %windir%\system32\');
         QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
         QuarantineFile('%windir%\system32\mssfc.dll','');
         DeleteFile('%windir%\system32\drivers\sfc.sys');
         DeleteFile('%windir%\system32\mssfc.dll');
         if FileExists ('%windir%\system32\dllcache\sfcfiles.dll') then
           begin
            if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
              begin
               CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
               AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
              end
             else
              begin
               AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных');
               SaveLog('sfcfiles.log');
               if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
                 begin
                  if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                    begin
                     CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                     AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                    end
                   else
                    begin
                     AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                    end;
                 end
                else
                 begin
                  AddToLog('Файл sfcfiles.dll отсутствует в i386');
                 end;
              end;
           end
          else
           begin
            AddToLog('Файл sfcfiles.dll отсутствует в кеше');
            SaveLog('sfcfiles.log');
            if FileExists ('%windir%\ServicePackFiles\i386\sfcfiles.dll') then
              begin
               if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
                 begin
                  CopyFile('%windir%\ServicePackFiles\i386\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
                  AddToLog('Замена sfcfiles.dll успешно произведена из i386');
                 end
               else
                begin
                  AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных');
                end;
              end
             else
              begin
               AddToLog('Файл sfcfiles.dll отсутствует в i386');
              end;
           end;
         DeleteFile('%windir%\system32\sfcfiles.bak');
       end;
     SaveLog('sfcfiles.log');
     BC_DeleteFile('%windir%\System32\sfcfiles.bak');
     BC_DeleteSvc('sfc'); 
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(20);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - файл sfcfiles.log прикрепите к сообщению

  4. #3
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    19
    Вес репутации
    27
    во время выполнения первого скрипта вылезла ошибка и пишет "диск отсутствует", нажимал продолжить. скрипт вроде выполнился, комп перезагрузился.
    Вложения Вложения

  5. #4
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    19
    Вес репутации
    27
    avz открывается нормально. route print не дает левых маршрутов, но каспер так и не активируется

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Цитата Сообщение от polword Посмотреть сообщение
    - файл sfcfiles.log прикрепите к сообщению
    вот этот файл еще приложите

  7. #6
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    19
    Вес репутации
    27
    вот
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - Восстановите файл C:\WINDOWS\System32\sfcfiles.dll отсюда

    в остальном чисто.

  9. #8
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    19
    Вес репутации
    27
    сделал, а каспер активироваться не хочет. говорит, что имя не может быть разрешено. хотя nslookup нормально резолвит его в правильный ip. сделал даже ipconfig /flushdns на всякий случай, но не помогает

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    - сделайте лог Combofix

  11. #10
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    19
    Вес репутации
    27
    сделал combofix. каспер активировался. лог тут
    Вложения Вложения
    • Тип файла: txt log.txt (12.0 Кб, 5 просмотров)

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    524
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\jchhyy.exe
    c:\program files\Common Files\jqyrg4inedzz13m
    c:\documents and settings\Admin\Application Data\download2\svcnost.exe
    
    Driver::
    
    NetSvc::
    
    Folder::
    c:\program files\Common Files\7e5b00
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    - Сделайте логи по правилам п.1,3 раздела Диагностика.(virusinfo_syscure.zip и hijackthis.log)

  13. #12
    Junior Member Репутация
    Регистрация
    16.10.2009
    Сообщений
    19
    Вес репутации
    27
    системник уже отдал. спасибо... думаю каспер будет защищать =)

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,511
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\irdsac.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Generic.KDV.39669, AVAST4: Win32:MalOb-DS [Cryp] )
      2. c:\\windows\\system32\\sfcfiles.dll - Trojan.Win32.Patched.lq ( DrWEB: Trojan.WinSpy.966, BitDefender: Gen:Variant.Kazy.5984, AVAST4: Win32:Small-NTF [Trj] )


  • Уважаемый(ая) snowdeath, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Не активируется код активации KIS-2010
      От Midas в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 12.04.2010, 10:52
    2. Не активируется Bluetooth
      От JaneYa в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.05.2009, 22:45
    3. Не активируется KIS 2009 часть 2
      От romario54 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 09:02
    4. Не активируется KIS 2009
      От romario54 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 09:01
    5. не активируется avzguard avzpm
      От goose0943 в разделе Публичное бета-тестирование
      Ответов: 3
      Последнее сообщение: 26.05.2007, 22:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01062 seconds with 21 queries