проверил диск с другого компьютера. удалились 500 вирусов. но после этого не могу установить касперского. Пожалуйста помогите. логи прилагаю
Printable View
проверил диск с другого компьютера. удалились 500 вирусов. но после этого не могу установить касперского. Пожалуйста помогите. логи прилагаю
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642122}');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe','');
QuarantineFile('C:\WINDOWS\wt\updater\wcmdmgrl.exe','');
QuarantineFile('C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf','');
QuarantineFile('C:\WINDOWS\system32\updater.exe','');
QuarantineFile('C:\WINDOWS\system32\uV4kFmSjPK7eKfenjpv9Ct.inf','');
QuarantineFile('C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf','');
QuarantineFile('C:\WINDOWS\system32\ndxq9awMc.dll','');
QuarantineFile('C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf','');
QuarantineFile('C:\WINDOWS\system32\dhDhwS7fFW.dll','');
QuarantineFile('C:\WINDOWS\system32\aR5azFSWstNWktJjswK5.inf','');
QuarantineFile('C:\WINDOWS\system32\X5T4kV8DNmMbdRXAUx82K.inf','');
QuarantineFile('C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf','');
QuarantineFile('C:\WINDOWS\system32\SCEVFJRCmaB7.dll','');
QuarantineFile('C:\WINDOWS\system32\S5kSrtwDf35EW9f2kBDF.inf','');
QuarantineFile('C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll','');
QuarantineFile('C:\WINDOWS\system32\P6VyQtQJUYa3rFan7J.inf','');
QuarantineFile('C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf','');
QuarantineFile('C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf','');
QuarantineFile('C:\WINDOWS\system32\FXNEE8UE86dAU4wwQSW.inf','');
QuarantineFile('C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf','');
QuarantineFile('C:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf','');
QuarantineFile('C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf','');
QuarantineFile('C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll','');
QuarantineFile('C:\WINDOWS\system32\2EF0D734.dll','');
QuarantineFile('C:\WINDOWS\system32\122B901E.dll','');
QuarantineFile('C:\WINDOWS\system32\08223B03.dll','');
QuarantineFile('C:\WINDOWS\fonts\A97CRaCB.fon','');
QuarantineFile('C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf','');
QuarantineFile('C:\WINDOWS\Tasks\txPsQUxAThX8QTR6s6Yn.inf','');
QuarantineFile('C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf','');
QuarantineFile('C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf','');
QuarantineFile('C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf','');
QuarantineFile('C:\WINDOWS\Tasks\2VeFNvQbcyFhKUaXTVE9.inf','');
QuarantineFile('C:\WINDOWS\system32\drivers\pcidump.sys','');
QuarantineFile('C:\WINDOWS\system32\0157.tmp','');
DeleteService('hgcjcmhc');
SetServiceStart('foft', 4);
DeleteService('foft');
QuarantineFile('C:\WINDOWS\system32\Drivers\ukhkq.sys','');
QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
QuarantineFile('C:\WINDOWS\system32\windswe.exe','');
QuarantineFile('C:\WINDOWS\system32\4AUUOAWZYP\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\4AUUOAWZYP\J002.exe','');
QuarantineFile('C:\WINDOWS\system32\WZ73F6CHRD\J002.exe','');
DeleteService('WinHelp32');
DeleteService('windswe');
DeleteService('windows_0');
DeleteService('vice');
DeleteService('re');
QuarantineFile('C:\WINDOWS\system32\spool\drivers\NetworkAgentServices.exe','');
QuarantineFile('C:\WINDOWS\system32\GZUB1KFKW8\G001.exe','');
QuarantineFile('C:\WINDOWS\nhg.exe','');
QuarantineFile('C:\WINDOWS\system32\GZUB1KFKW8\F001.exe','');
QuarantineFile('C:\WINDOWS\Atds.exe','');
DeleteService('Atdx');
DeleteService('Nationalnod32');
DeleteService('n hj');
DeleteService('ferst');
QuarantineFile('C:\WINDOWS\System32\BtSrv.exe','');
DeleteService('BitSrv');
DeleteFile('C:\WINDOWS\System32\BtSrv.exe');
DeleteFile('C:\WINDOWS\Atds.exe');
DeleteFile('C:\WINDOWS\system32\GZUB1KFKW8\F001.exe');
DeleteFile('C:\WINDOWS\nhg.exe');
DeleteFile('C:\WINDOWS\system32\GZUB1KFKW8\G001.exe');
DeleteFile('C:\WINDOWS\system32\WZ73F6CHRD\J002.exe');
DeleteFile('C:\WINDOWS\system32\4AUUOAWZYP\J002.exe');
DeleteFile('C:\WINDOWS\system32\4AUUOAWZYP\J001.exe');
DeleteFile('C:\WINDOWS\system32\windswe.exe');
DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\ukhkq.sys');
DeleteFile('C:\WINDOWS\system32\0157.tmp');
DeleteFile('C:\WINDOWS\Tasks\2VeFNvQbcyFhKUaXTVE9.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{0DCB6565-A9F9-41CA-97E1-65F4A6345F3E}');
DeleteFile('C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{7488E47D-E8F3-41C0-B2DA-9B2BD8803A80}');
DeleteFile('C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{A2BCFCEE-C939-433F-A32A-7353A6E720DB}');
DeleteFile('C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B9D0F4D7-C809-4C27-9CB4-63201DFB3D05}');
DeleteFile('C:\WINDOWS\Tasks\txPsQUxAThX8QTR6s6Yn.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B6C3510F-2666-496B-A46F-6EEFD6328C2B}');
DeleteFile('C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{6049BC02-7EDA-4C41-B4AB-D5398607C39E}');
DeleteFile('C:\WINDOWS\fonts\A97CRaCB.fon');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}');
DeleteFile('C:\WINDOWS\system32\08223B03.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}');
DeleteFile('C:\WINDOWS\system32\122B901E.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}');
DeleteFile('C:\WINDOWS\system32\2EF0D734.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{2EF0D734-21FD-4225-A1A2-BCD296182AAF}');
DeleteFile('C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{87DE8A1A-96C5-4420-B222-EF998F697CE7}');
DeleteFile('C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{1719B301-B494-4185-9379-242461F9CF02}');
DeleteFile('C:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{CB661471-055A-4C5B-9ED0-497B9908FEF5}');
DeleteFile('C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{D36A1DF7-6582-4160-B925-59A34E39FE30}');
DeleteFile('C:\WINDOWS\system32\FXNEE8UE86dAU4wwQSW.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B7D21764-31A1-4B15-B975-8AAA398CE07F}');
DeleteFile('C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C}');
DeleteFile('C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{20CFDC59-228C-481F-80B6-404BCFA16B13}');
DeleteFile('C:\WINDOWS\system32\P6VyQtQJUYa3rFan7J.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{E16EA4C8-040B-4A12-A0F5-783963AD665D}');
DeleteFile('C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{51716C09-6B08-4CCF-B526-718E912C0573}');
DeleteFile('C:\WINDOWS\system32\S5kSrtwDf35EW9f2kBDF.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{C20C5A13-4DD7-40D9-90B4-700BAB0BBBE9}');
DeleteFile('C:\WINDOWS\system32\SCEVFJRCmaB7.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{CD478099-014D-4B3A-A4BB-B518F1019BC7}');
DeleteFile('C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE}');
DeleteFile('C:\WINDOWS\system32\X5T4kV8DNmMbdRXAUx82K.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{CE38B9E6-AF0C-4B93-AFAB-A20C2311FFD0}');
DeleteFile('C:\WINDOWS\system32\aR5azFSWstNWktJjswK5.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{3F86C1E9-E95A-41AF-AD72-7D9A1742232D}');
DeleteFile('C:\WINDOWS\system32\dhDhwS7fFW.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}');
DeleteFile('C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8A6A5B34-D995-4C5D-9338-B5E264B4A87}');
DeleteFile('C:\WINDOWS\system32\ndxq9awMc.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}');
DeleteFile('C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{335A9BAE-19FA-42F2-AFD2-20C3275EF392}');
DeleteFile('C:\WINDOWS\system32\uV4kFmSjPK7eKfenjpv9Ct.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{9C20D654-5AF8-4DB7-A125-1A17D7065C73}');
DeleteFile('C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{74DA2FEC-F68F-4DC7-9A45-9174AC044427}');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe');
DeleteFileMask('C:\RESTORE', '*.*', true);
DeleteDirectory('C:\RESTORE');
DeleteFileMask('C:\System Volume Information\_restore{BF59517A-453F-4DF0-819B-113DB545ED94}\RP242', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
SetAVZPMStatus(True);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
при проверке синтаксиса - ошибка:
")" в позиции 138:41
Поправил скрипт
отправил карантин - 091012_014116_virus_4ad250fc74b51.zip
сделал новые логи
касперский установился и обновился,
но все равно прошу посмотреть
Выполните скрипт в avz
[code]begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\wt\updater\wtisa.dll','');
QuarantineFile('C:\WINDOWS\wt\wtvh.dll','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wtwmplug.ax','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wtvh.dll','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wtmulti.jar','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wthostctl.dll','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wthost.exe','');
QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\webdriver.dll','');
QuarantineFile('C:\WINDOWS\wt\webdriver\wtwmplug.ax','');
QuarantineFile('C:\WINDOWS\wt\webdriver\wtmulti.jar','');
QuarantineFile('C:\WINDOWS\wt\webdriver\wthostctl.dll','');
QuarantineFile('C:\WINDOWS\wt\webdriver\wthost.exe','');
QuarantineFile('C:\WINDOWS\wt\webdriver\webdriver.dll','');
QuarantineFile('C:\WINDOWS\wt\updater\wcmdmgrl.exe','');
QuarantineFile('C:\WINDOWS\system32\updater.exe','');
QuarantineFile('C:\Program Files\citysvyaz\citysvyaz.exe','');
QuarantineFile('C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\qvSPdARs5PQNKAzvezTuPcs.cur','');
QuarantineFile('C:\WINDOWS\system32\drivers\ukhkq.sys','');
DeleteService('foft');
StopService('foft');
DeleteFile('C:\WINDOWS\system32\drivers\ukhkq.sys');
DeleteFile('C:\WINDOWS\Downloaded Program Files\qvSPdARs5PQNKAzvezTuPcs.cur');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5B0C7E2C-3257-4619-8282-A173017B16E2}');
DeleteFile('C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{C07B914B-C164-42D2-9838-1422C3F70D99}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZGuardStatus(True);
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=40118[/url].
Сделайте новые логи.
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('foft');
DeleteService('foft');
QuarantineFile('C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\qvSPdARs5PQNKAzvezTuPcs.cur','');
DeleteFile('C:\WINDOWS\Downloaded Program Files\qvSPdARs5PQNKAzvezTuPcs.cur');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5B0C7E2C-3257-4619-8282-A173017B16E2}');
DeleteFile('C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{C07B914B-C164-42D2-9838-1422C3F70D99}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[CODE]C:\WINDOWS\system32\drivers\pcidump.sys
C:\WINDOWS\system32\spool\drivers\NetworkAgentServices.exe[/CODE]Пришлите согласно [B]Приложения 2[/B] правил
Сделайте новые логи + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
Всем большое спасибо за помощь
все работает
Лечение еще не закончено. Поэтому
[QUOTE='thyrex;484571']Сделайте новые логи + лог gmer[/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]109[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\ukhkq.sys - [B]Rootkit.Win32.Agent.usr[/B] ( BitDefender: Gen:Rootkit.Heur.bqW@h4gd8Yi, NOD32: Win32/Koutodoor.EK trojan, AVAST4: Win32:RtkDL [Rtk] )[/LIST][/LIST]