-
Junior Member
- Вес репутации
- 52
После лечения. ESET не устанавливается
Собственно проблема:
Ни на винте, ни в реестре нету следов ESET. Но - при попытке установке ESS4 требует пароль от SelfDefence, угадать оный не удалось.
Предистория: CureIt (закачан и вшит в образ LiveCD на чистой машине) вынес пару вагонов вирей, в т.ч. Sality.NAO (sector.5)
Безопасный режим восстановил копированием ветки реестра с древнего зараженного бэкапа (c->ghost, acronis, regedit, ghost->c), после чего пришлось еще пару часов поCureить (флеха и d: успели нахвататься, сам виноват). Ни Cure ни AVPTool пока больше ничего не нашли (второй сейчас копается).
Был установлен Kaspersky 2009, сьели заживо - когда ноут попал в мои руки, он уже не запускался. До него, судя по ошметкам в системе, был установлен Symantec.
После создания репортов пробовал ставить более старые версии NOD32 и ESET, задавать пароль вручную, и проскочить по апдейту версий - безуспешно. 4-ка упорно игнорирует старые версии и требует «тот самый пароль».
По протоколам: ложный таскман исправил сразу после беглого просмотра репорта AVZ, но предполагаю, что он уже был излечен CureIt'ом.
Последний раз редактировалось Head_gr; 16.01.2011 в 04:38.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe','');
QuarantineFile('C:\Documents and Settings\USER\Application Data\juzjf.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\toboopy.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\veuayjlu.sys','');
QuarantineFile('C:\DOCUME~1\USER\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mpmges.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\mpmges.sys');
DeleteFile('C:\DOCUME~1\USER\LOCALS~1\Temp\cpuz132\cpuz132_x32.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\veuayjlu.sys');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\toboopy.exe');
DeleteFile('C:\Documents and Settings\USER\Application Data\juzjf.exe');
DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
DeleteFile('C:\ROM\P-43553JIYW-8374322329-0909090987-120\sys32s.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','tyhuqu');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','tyhuqu');
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
DelCLSID('{64KLC5K0-4OPM-00WE-AAX8-17EF1D187666}');
BC_DeleteSvc('aic32p');
BC_DeleteSvc('cpuz132');
BC_DeleteSvc('kl1');
BC_DeleteSvc('klbg');
BC_DeleteSvc('KLIF');
BC_DeleteSvc('veuayjlu');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: http://virusinfo.info/upload_virus.php?tid=95404).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Дополнительно сделайте еще такой лог в AVZ:
Сервис - Диспетчер служб и драйверов,
выбрать Тип: Драйверы, Статус: Все,
Сохранить протокол.
Полученный файл упакуйте в zip-архив и прикрепите сюда.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнять в безопасном или обычном режиме?
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Карантин пуст, но «что-то еще не так в консерватории».
AVZ уверяет, что Диспетчер задач снова «не в себе».
Уж не ошибся ли я, направив реестр на taskmgr.exe вместо taskman.exe?
UPD: Taskman после ребутов стабильно запускается сам. Размышляю, не накатить ли WINXP HOME SP3 в режиме обновления...
Последний раз редактировалось Head_gr; 16.01.2011 в 06:43.
-
Сообщение от
Head_gr
AVZ уверяет, что Диспетчер задач снова «не в себе».
Выполните такой скрипт:
Код:
begin
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
end.
Больше ничего плохого не видно.
Причина проблемы с ESET остается загадкой.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 52
Это я уже и руками прибью, спасибо. Образ сделал, попробую накатить вынь поверх, может полегчает. О результатах отпишусь. Кстати, ESS3 становится, но не стартует файловая защита и файрвол, и удаляться корректно не желает, только через ESETUninstaller фирменный.
-
Junior Member
- Вес репутации
- 52
Ни один антивирус установить так и не удалось, пришлось переустанавливать систему с нуля. Спасибо еще раз за помощь.