оПять Internet Security - & касперский

Printable View

24.01.2010, 06:01
caleefornyah

оПять Internet Security - & касперский

Izvinite, shto translitom, no v safe mode rasskladka ne menyaetsya.
3 dnya nazad poluchil Internet Security rogue kotoryi treboval desyatku cherez sms :) i blokiroval vse exeshniki i sozdaval hijacktaskbar & hijackregedit.
posle YA ispolzoval:
1.AVAST - srazu zakryvalsya i vyletal;
2.Zaicev - v safe mode eto ne realno;
3.Malwarebytes - nashel nesk storonnih troyanov i udalil ih + zapis v registre infecirovannuyu Windows.Tool.Disable - vot log::
---------------------------------------------
Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3616
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18865
22/01/08 23:27:14
mbam-log-2008-01-22 (23-27-14).txt
Тип проверки: Быстрая
Проверено объектов: 104862
Прошло времени: 4 minute(s), 25 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 1
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
(Вредоносные программы не обнаружены)
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> Delete on reboot.
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
(Вредоносные программы не обнаружены)
-------------------------------------------------------------------
no posle rebuta nichego ne proishodilo, a esli ya udalyal v ruchnuyu - to vse povtoryalos a znachenie reestra poyavlyalos vnov.
4. Potom Ya skachal KasperInterSec (KIS2010) i obnovil ego bazu posle sdelal polnuyu proverku diskov (vse v safe mode); posle reboota v normal mode - baner s trebovaniem sms ischez, no popreznemu ne rabotayut prilozeniya i vse tormozit do smerti (prosto visnit)
-- takoe chustvo chto KIS udalil tolko baner--

Lyudi ochen pomsh nuzna u menya rabochie faily na etom hdd sdavat' v Ponedelnik - :censored:s etim virusom uze 3 dnya

--posmotrel pravila zaprosa - shas postorayus vse sdelat v sootvetstvii s nimi--
--proveril dr.web om vydal infeciyu v atapi.sys i napisal shto prolechil - no na popytku sohranit log vyletel cherez SINII' EKRAN!!
--pri popytke otklyuchit vostanovlenie sistemy ne mogu naiti "В окне Автоматические точки восстановления sistemy" vse delayu po planu , no poyavlyaetsya (sm. restore.rar)
--AVZ (Zaicev) zavisaet v normal mode (nasmert') --proskanil v safe mode (log attached)
24.01.2010, 14:33
PavelA

КИС + Аваст это круто.
Теперь по сути.
HijackThis -- Config -- MiscTool -- Open ADSSPy сделать лог. Все что найдется
-- удалить.
Список предоставить сюда.
24.01.2010, 15:26
caleefornyah

otkryl HijackThis=>Open Misc tools selection=> open ADS spy=> snyal markery s (quick scan) i (ignore safesys info streams) kogda markery byli ne scanilos=> vypolnil scan=> potom remove selected
lod attached

+proveril eshe raz )
24.01.2010, 15:32
PavelA

В логе плохого ничего не вижу. Вы утилиты запускали по правой клавише мыши (запуск от имени)?
[QUOTE]--proveril dr.web om vydal infeciyu v atapi.sys i napisal shto prolechil - no na popytku sohranit log vyletel cherez SINII' EKRAN!![/QUOTE]
Надо попробовать заменить atapi.sys с дистрибутива системы + провериться TDSSKiller с сайта Касперского
24.01.2010, 15:52
caleefornyah

posle remova soobshenie
"the follwing ADS streams could not be deleted. They may be locked by another program: C:\Users\CALIFORNIA\Desktop\Commy.exe : Zone.Inentifier (26 bytes)

= eto antivir kotoryi ya prezde usal (tolko exe file pereimenovan logo:boshka l'va)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=PavelA;569226]В логе плохого ничего не вижу. Вы утилиты запускали по правой клавише мыши (запуск от имени)?[/QUOTE]
online on avtomatom fastscan proizvodit bez izm cfg

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

[QUOTE=PavelA;569226]

Надо попробовать заменить atapi.sys с дистрибутива системы + провериться TDSSKiller с сайта Касперского[/QUOTE]
neskolko chasov nazad posle togo soobsheniya o Sinemekrane scanil eshe raz dr.webom v tot raz ne vyletelo
2 inficirovanyh atapi.sys po C\win\sys32\drivers (metka vylechen)
log

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

zamenit atapi.sys

nashel 3 atapi.sys
1.C\win\sys32\drivers
2.C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699
3.C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d
kakoi menyat?
24.01.2010, 16:03
PavelA

[QUOTE='caleefornyah;569227']C\win\sys32\drivers[/QUOTE]
Вот этот.
24.01.2010, 16:11
caleefornyah

3 raza proveryal dr.webom odno i toze

[QUOTE=PavelA;569253]Вот этот.[/QUOTE]
chto znachit zamenit? pereimenovat ili otkuda-to skopirovat i zamenit?
24.01.2010, 18:48
caleefornyah

Te skopirovat s togo diska s kotorogo Ya Windoo stavil (Vinda uze stoyala hz otkuda ona)?
-a gde mozno atapi.sys dostat eshe? dlya Windows 6.0.6001 Service Pack 1?
24.01.2010, 19:36
PavelA

После лечения Доктором логи AVZ так и не получается сделать?
TDSSKiller от Касперского есть, надо им провериться.
25.01.2010, 05:59
caleefornyah

sha delal "polnuyu proverku" dr web'om i zasnul )
[QUOTE=PavelA;569400]После лечения Доктором логи AVZ так и не получается сделать?[/QUOTE]
1.pri popytke sohranit file otcheta on opyat menya vykinul cherez sinii ekran.
2. logi AVZ (v safe mode) normalno sohranyalis s samogo nachala (nize dobavlen posledniy iz nih)
[QUOTE=PavelA;569400]TDSSKiller от Касперского есть, надо им провериться.[/QUOTE]
TDSSKiller - est sha sdelayu
25.01.2010, 06:14
caleefornyah

sha poproboval TDSSkiller
on pishet - Driver load error! Press any key to continue...
i zakryvaetsya pri nazazatii lyuboi klavishi (vse delayu v safe mode moz izza etogo)

--ya tut podumal mozet byt mozno zamenit inficirovannyi atapi.sys na atapi.sys iz C:\Windows\System32\DriverStore\FileRepository\ s bolee rannei datoy sozdaniya\modify -hernyu naverno skazal :?
25.01.2010, 09:16
Юрий Паршин

[QUOTE=caleefornyah;569772]sha poproboval TDSSkiller
on pishet - Driver load error! Press any key to continue...
i zakryvaetsya pri nazazatii lyuboi klavishi (vse delayu v safe mode moz izza etogo)

--ya tut podumal mozet byt mozno zamenit inficirovannyi atapi.sys na atapi.sys iz C:\Windows\System32\DriverStore\FileRepository\ s bolee rannei datoy sozdaniya\modify -hernyu naverno skazal :?[/QUOTE]
TDSSKiller надо запускать в нормальном режиме (не SafeMode)
25.01.2010, 09:41
caleefornyah

[QUOTE=Юрий Паршин;569822]TDSSKiller надо запускать в нормальном режиме (не SafeMode)[/QUOTE]
yasno sha poprobuyu

[size="1"][color="#666686"][B][I]Добавлено через 9 минут[/I][/B][/color][/size]

poproboval v normalnom mode nachinayutsya tormoza i zavisaet - te voobshe nichego ne sdelat; no v rezime otladki (esli snyat markery so vseh v start upe) - to ne visnit, sha v rezime otladki zapushu
25.01.2010, 10:29
caleefornyah

1. prokatil v normal mode (diagnostic start up v msconfig) (screen attached)
2. rebootnulsya i povtoril (normal mode diagnostic startup) (screen attached)
3. dalee msconfig normal startup reboott
4. normal mod full starup (screen dobavlen)
--Энд Вуалла!! - все вроде пашет -
- но Касперский drWeb и Avast пишут ошибку и закрываются и центр безопасности (security Center) Винды не доступен
- надо наверное чтоото для профилактики сделать может быть не все зачистилось?
большое спасибо PavelA и Юрий Паршин -

PS. вспомнил последнюю прогукоторую я качал педед вирем - memory optimizer
26.01.2010, 10:29
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]