новый псевдо АВ 2010

Printable View

22.12.2009, 11:08
fotorama

новый псевдо АВ 2010

на ноуте сотрудника появился подлый интернет секурети 2010 и куча еще разных живностей, что смог то прибил куреититом и авз(увы смог не много :sad: ), заблокирован деспепетчер задач и рабочий стол .
прошу вашей помощи в спасение души и этого несчастного ноута.
в логах 2 АВ нод32 и каспер... касперского я позже удалю его сам пользователь накойто поставил (причем с базами 2003 года, че он им пытался добиться я так и не понел.... мож думал что зловред испужается и сам удалится:rolleyes:) ....
логи согластно правил прилогаю.
зарание благодарен
22.12.2009, 14:55
fotorama

скажите плиз пациент жить будет
22.12.2009, 15:13
PavelA

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\winlogon86.exe -- тяжелый случай userinit.exe подменен в реестре. Надо смотреть, есть ли он на диске.
22.12.2009, 15:36
fotorama

спасибо жду указаний
где на диске поискать его?
22.12.2009, 15:41
PavelA

В C:\WINDOWS\system32\
22.12.2009, 16:15
fotorama

[QUOTE=PavelA;541986]В C:\WINDOWS\system32\[/QUOTE]
имеется там
что дальше?
22.12.2009, 16:24
PavelA

UserInit=C:\WINDOWS\system32\winlogon86.exe - правим этот ключ, заменяем на userinit.exe c "," в конце.
Строчку [CODE]O4 - HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe[/CODE] фиксим
После этого повторяем логи.
30.12.2009, 09:19
fotorama

сейчас сделаю новый лок HJ и стандартного скрипта №2 , третий скрипт не делается вылитает с зависанием авз
30.12.2009, 10:05
fotorama

Вложений: 3

новые логи
30.12.2009, 11:38
fotorama

ответте плиз ноут жить будет или уже усе совсем скопытился??

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

с помощью авз удалось убрать сообщение о вирусе с рабочего стола и наконец его отчистить но увы при старт е системы всеравно полно ошибок связаных с memCheck.exe и никак не удаеться удалить каспера

[size="1"][color="#666686"][B][I]Добавлено через 42 секунды[/I][/B][/color][/size]

деспетчер задач тоже разблокировался

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

да забыл сказать на пк есть еще очень плохая проблема связанная с usb портами, при установки флешки система пытается найти на нее драйвер причем искать она будет до бесконечности засыпая пользователя сообщением о найденном оборудование , при этом саму флешку иногда всетаки определяет и дает ей воспользоваться но это 1 из 10 раз.....

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

п/с
флешки пробовал разные эффект все равно тодже

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

да еще в ходе лечения (скорей всего из-за маво вмешательства в процесс) накрылась прога для билайн инета .....она в принципе не нужна, но теперь она сильно мешает своими вылетающими ошибками и ее тоже не получается удалить стандартными средствами
30.12.2009, 11:56
PavelA

АВГ + Симантек + НОД + Касперский. Круто, но бесполезно.

Для Интернета: в AVZ Файл -- восст. системы -- п.14 отметить и выполнить.
Заново настроить сетку.
30.12.2009, 14:49
fotorama

[QUOTE='PavelA;549017']АВГ + Симантек + НОД + Касперский. Круто, но бесполезно.[/QUOTE]
я сам как увидел чуть не упал..... но увы почемуто сейчас я не могу удолить не 1 из перечисленных АВ :( а из-за них система тормозит просто не реально..... главное кроме нода(он свежий) все остальные АВ 2002-2005 года и когда я спросил владельца за что он меня так ненавидит, он ответил что ему показалось что если нод не справляется то эти ему помогут убить вирус.... короче я в шоке.... что с логами повторять стоит или нет??? просто из-за кучи ав я не могу понять кто тормозит систему ав или зверье....
30.12.2009, 14:56
PavelA

Если восстановление системы в AVZ сделал, то можешь лог Хиджака повторить.
30.12.2009, 15:24
fotorama

сделал в авз но осталась постоянно всплывающая ошибка memcheck.exe щас hj лог скину
30.12.2009, 15:34
fotorama

лог hj
30.12.2009, 15:40
fotorama

народ а вот эт о создание разве не нужно казнить или он пользу приносит? [B]c:\windows\system32\winhelper86.dll[/B]
30.12.2009, 15:51
PavelA

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{FE063DB9-4EC0-403e-8DD8-394C54984B2C}');
QuarantineFile('C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL','');
QuarantineFile('C:\WINDOWS\system32\winupdate86.exe','');
DeleteFile('C:\WINDOWS\system32\winupdate86.exe');
DeleteFile('C:\Program Files\AskTBar\bar\2.bin\ASKTBAR.DLL');
ExecuteRepair(11);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Заново сделать все логи
30.12.2009, 16:19
fotorama

скрипт выполнил делаю новые логи, тут вопрос появился я через "мастер устранения проблем" вырубал автозапуск с флешек , дисков и т. д. но после ребута он опять включен... и я что то не понимаю как он заново врубается.... просто в логах тока 1 winupdate86 виднеется и что делать с winuhelper86.dll ? просто я уже его и winupdate86 .exe пару раз пробовал удалить скриптом...
30.12.2009, 16:51
fotorama

новые логи
30.12.2009, 17:30
fotorama

вроде в логах авз чисто а в HJ этот хелпер еще есть мож его просто завиксю и все?

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

в принципе видимых проблем не осталось... система грузится быстро, работает тоже вроде без тормазов...

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

про меня забыли.... :(

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

ладно у мнея и у сотрудника рабочий день заканчивается теперь мы сним увидемся тока в следующем году так что если будут проблемы он мне оних тогда и раскажет... спасибо за помощ и снаступающим новым годом :)