Здравствуйте!
Машина заражена. АВЗ не запускается. Ни Касперский, ни ВЕБ тоже. Командная строка работает. Плз, помогите.
Printable View
Здравствуйте!
Машина заражена. АВЗ не запускается. Ни Касперский, ни ВЕБ тоже. Командная строка работает. Плз, помогите.
работает только командная сторока ? в safe mode грузится ?
В безопасном режиме загружается, но и там не могу запустить ни один антивирь, ни АВЗ. Могу только Процесс Эксплорер запустить. Удалял почти все процессы, но все равно не запускается АВЗ.
[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]скачать [/URL] в IceSword сделайте логи процессов и сервисов и Kernel Module ... сохраните и прикрепите к сообщению .....
Punto Switcher у вас установлен?
Punto Switcher не установлен.
Логи высылаю. Проверил svchost.exe через инет, лабораторию касперского, файл заражен. В безопасном заменил файл из папки Dllcahe, но АВЗ так запустить и не смог. Удаляю еще два файла из System32 (bolenja.exe, bolenjx.exe), они тоже заражены, но они появляются вновь.
сделайте еще лог Startup
Высылаю...
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Не вижу, чтоб отослался. Получили?
Нет не получили.
Выслал. Хотел проверить файл ntos.exe но сервер касперского пишет, что файл не выбран, повторите проверку. Хотя три раза пытался...
в IceSword удалить файлы ...
C:\WINDOWS\system32\xpdx.sys
bolenjx.exe
bolenja.exe
C:\WINDOWS\system32\ntos.exe
ключи ...
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
bolenja
bolenja.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
bolenjx
bolenjx.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
userinit
C:\WINDOWS\system32\ntos.exe
.... попробовать запустить авз .... стандартный скрипт ...3
Все удалил. Не перегружался. АВЗ не запускается. Нашел в реестре еще вот такой параметр: Userinit - "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"
в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Curr entVersion\Winlogon.
Пока не надо трогать...
Попробуйте использовать [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]это[/URL]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Userinit должно быть [B]C:\WINDOWS\system32\userinit.exe,[/B]
подправте ...
Да. что отвечает система при попытке запусть AVZ?
1. Все ж подправил.
2. Вопрос к akok: выполнить все 12 файлов?
3. Система, на попытку запустить АВЗ, никак не реагирует вообще. На долю секунды появятся песочные часы и все.
Пробывал зайти в свойства "Мой компьютер" - не пускают. Пишется, что есть ограничения для компьютера, причем ошибка вылетает два раза.
Нет только один с ниболее поздним временем создания
p.s. попробуйте через безопасный режим
ОК. Счас скачаю и попробую в безопасном режиме.
"Восстановление системы" отключить не могу. Высылаю логи.
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\morfitwebentrance.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
скачайте свежую версию авз ... сделайте новый комплект логов ....
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
пофиксите ...
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
[/code]