После частичной чистки от вирусов установил КАV 7 , но он не активирует защиту , пишит ошибку ключа , хотя ключь установлен.
Printable View
После частичной чистки от вирусов установил КАV 7 , но он не активирует защиту , пишит ошибку ключа , хотя ключь установлен.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\6a77fc54.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\System32\avast!Antivirus.exe','');
DeleteFile('C:\WINDOWS\System32\avast!Antivirus.exe');
DeleteFile('C:\WINDOWS\System32\drivers\6a77fc54.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('9b21f186');
BC_DeleteSvc('166d7802');
BC_DeleteSvc('avast!antivirus');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=49236[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Проблема осталась.
[B][URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог GMER[/URL].[/B]
GMER 1.0.15.14972 - [url]http://www.gmer.net[/url]
Rootkit scan 2009-07-03 16:55:17
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwEnumerateKey [0xEBE1B9B0]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwEnumerateValueKey [0xEBE1BA60]
SSDT \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwQuerySystemInformation [0xEBE2B460]
Code \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \??\C:\WINDOWS\system32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) IoIsOperationSynchronous
Code 85587500 pIofCallDriver
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 857D61F8
AttachedDevice \FileSystem\Ntfs \Ntfs klif.sys (spuper-ptor/Kaspersky Lab)
Device \Driver\NDIS \Device\Ndis [85561984] NDIS.sys[.reloc]
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] tdocgxfzr <-- ROOTKIT !!!
Service system32\drivers\TDSSpplt.sys (*** hidden *** ) [SYSTEM] tdssserv.sys <-- ROOTKIT !!!
---- EOF - GMER 1.0.15 ----
При полной проверке , при проверке Device у ноута тухнет экран и он не на что не риагирует .
активируйте avzpm и повторите логи авз
Вот
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\TDSSpplt.sys','');
DeleteService('6a77fc54');
DeleteService('avast!antivirus');
DeleteFile('c:\windows\system32\avast!antivirus.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\aujasnkj.sys');
DeleteFile('C:\WINDOWS\System32\drivers\6a77fc54.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\TDSSpplt.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\tdssserv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
попробуйте сделать лог gmer
Вот скан gmer без devices
Лог выполнил , изменений нет.
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe.
[CODE]gmer.exe -del file C:\WINDOWS\system32\drivers\TDSSpplt.sys
gmer.exe -del file C:\WINDOWS\system32\TDSSoity.dll
gmer.exe -del file C:\WINDOWS\system32\TDSSmtpe.dat
gmer.exe -del file C:\WINDOWS\system32\TDSScrxx.dll
gmer.exe -del file C:\WINDOWS\system32\TDSSyaqu.dll
gmer.exe -del file C:\WINDOWS\system32\TDSSnpur.dll
gmer.exe -del file C:\WINDOWS\system32\TDSSixgp.dll
gmer.exe -del file C:\WINDOWS\system32\TDSSnmxx.log
gmer.exe -del file C:\WINDOWS\system32\TDSSsahf.dll
gmer.exe -del file C:\WINDOWS\system32\TDSSehys.log
gmer.exe -del file C:\WINDOWS\system32\TDSSwkod.log
gmer.exe -del file C:\WINDOWS\system32\ggmda.dll
gmer.exe -del service tdocgxfzr
gmer.exe -del service tdssserv.sys
gmer.exe -del reg HKLM\SYSTEM\CurrentControlSet\Services\tdocgxfzr
gmer.exe -del reg HKLM\SYSTEM\CurrentControlSet\Services\tdssserv.sys
gmer.exe -del reg HKLM\SYSTEM\ControlSet002\Services\tdocgxfzr
gmer.exe -del reg HKLM\SYSTEM\ControlSet002\Services\tdssserv.sys
gmer.exe -reboot[/CODE]
И запустите cleanup.bat. Компьютер перезагрузится. После перезагрузки повторите лог GMER.
При выполнении скрипта вылетает BSOD со ссылкой на файл aujasnkj.sys
Лог
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\TDSSpplt.sys');
DeleteFile('C:\WINDOWS\system32\ggmda.dll');
DeleteFileMask(''C:\WINDOWS\system32', 'TDSS*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('tdocgxfzr');
BC_DeleteSvc('tdssserv.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:
[code]
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tdocgxfzr"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tdssserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tdocgxfzr"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tdssserv.sys"
gmer.exe -reboot[/code]
Запустите этот файл.
Компьютер перезагрузится.
Сделайте новые логи AVZ и gmer.
Script error: ')' expected, position [6:18] ошибка в скрипте авз
Вот лог
еще лог
Скачайте свежий [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPtool[/URL] и сделайте полную проверку в безопасном режиме. После этого повторите лог по п.2 раздела [I]Диагностика[/I].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\avast!antivirus.exe - [B]Trojan-Downloader.Win32.Agent.cfuy[/B] ( DrWEB: Trojan.DownLoad.37569, BitDefender: MemScan:Trojan.Downloader.Agent.AANY )[*] c:\windows\system32\drivers\ndis.sys - [B]Virus.Win32.Protector.b[/B] ( DrWEB: Trojan.NtRootKit.2912, BitDefender: Rootkit.19224 )[/LIST][/LIST]