оПять Internet Security - & касперский

[caleefornyah]

Izvinite, shto translitom, no v safe mode rasskladka ne menyaetsya.
3 dnya nazad poluchil Internet Security rogue kotoryi treboval desyatku cherez sms i blokiroval vse exeshniki i sozdaval hijacktaskbar & hijackregedit.
posle YA ispolzoval:
1.AVAST - srazu zakryvalsya i vyletal;
2.Zaicev - v safe mode eto ne realno;
3.Malwarebytes - nashel nesk storonnih troyanov i udalil ih + zapis v registre infecirovannuyu Windows.Tool.Disable - vot log::
---------------------------------------------
Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3616
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18865
22/01/08 23:27:14
mbam-log-2008-01-22 (23-27-14).txt
Тип проверки: Быстрая
Проверено объектов: 104862
Прошло времени: 4 minute(s), 25 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 1
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
(Вредоносные программы не обнаружены)
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> Delete on reboot.
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
(Вредоносные программы не обнаружены)
-------------------------------------------------------------------
no posle rebuta nichego ne proishodilo, a esli ya udalyal v ruchnuyu - to vse povtoryalos a znachenie reestra poyavlyalos vnov.
4. Potom Ya skachal KasperInterSec (KIS2010) i obnovil ego bazu posle sdelal polnuyu proverku diskov (vse v safe mode); posle reboota v normal mode - baner s trebovaniem sms ischez, no popreznemu ne rabotayut prilozeniya i vse tormozit do smerti (prosto visnit)
-- takoe chustvo chto KIS udalil tolko baner--

Lyudi ochen pomsh nuzna u menya rabochie faily na etom hdd sdavat' v Ponedelnik - s etim virusom uze 3 dnya

--posmotrel pravila zaprosa - shas postorayus vse sdelat v sootvetstvii s nimi--
--proveril dr.web om vydal infeciyu v atapi.sys i napisal shto prolechil - no na popytku sohranit log vyletel cherez SINII' EKRAN!!
--pri popytke otklyuchit vostanovlenie sistemy ne mogu naiti "В окне Автоматические точки восстановления sistemy" vse delayu po planu , no poyavlyaetsya (sm. restore.rar)
--AVZ (Zaicev) zavisaet v normal mode (nasmert') --proskanil v safe mode (log attached)

[PavelA]

КИС + Аваст это круто.
Теперь по сути.
HijackThis -- Config -- MiscTool -- Open ADSSPy сделать лог. Все что найдется
-- удалить.
Список предоставить сюда.

[caleefornyah]

otkryl HijackThis=>Open Misc tools selection=> open ADS spy=> snyal markery s (quick scan) i (ignore safesys info streams) kogda markery byli ne scanilos=> vypolnil scan=> potom remove selected
lod attached

+proveril eshe raz )

[PavelA]

В логе плохого ничего не вижу. Вы утилиты запускали по правой клавише мыши (запуск от имени)?

--proveril dr.web om vydal infeciyu v atapi.sys i napisal shto prolechil - no na popytku sohranit log vyletel cherez SINII' EKRAN!!

Надо попробовать заменить atapi.sys с дистрибутива системы + провериться TDSSKiller с сайта Касперского

[caleefornyah]

posle remova soobshenie
"the follwing ADS streams could not be deleted. They may be locked by another program: C:\Users\CALIFORNIA\Desktop\Commy.exe : Zone.Inentifier (26 bytes)

= eto antivir kotoryi ya prezde usal (tolko exe file pereimenovan logo:boshka l'va)

Добавлено через 1 минуту

В логе плохого ничего не вижу. Вы утилиты запускали по правой клавише мыши (запуск от имени)?

online on avtomatom fastscan proizvodit bez izm cfg

Добавлено через 7 минут

Надо попробовать заменить atapi.sys с дистрибутива системы + провериться TDSSKiller с сайта Касперского

neskolko chasov nazad posle togo soobsheniya o Sinemekrane scanil eshe raz dr.webom v tot raz ne vyletelo
2 inficirovanyh atapi.sys po C\win\sys32\drivers (metka vylechen)
log

Добавлено через 10 минут

zamenit atapi.sys

nashel 3 atapi.sys
1.C\win\sys32\drivers
2.C:\Windows\System32\DriverStore\FileRepository\m shdc.inf_c6c2e699
3.C:\Windows\System32\DriverStore\FileRepository\m shdc.inf_cc18792d
kakoi menyat?

[PavelA]

C\win\sys32\drivers

Вот этот.

[caleefornyah]

3 raza proveryal dr.webom odno i toze

Вот этот.

chto znachit zamenit? pereimenovat ili otkuda-to skopirovat i zamenit?

[caleefornyah]

Te skopirovat s togo diska s kotorogo Ya Windoo stavil (Vinda uze stoyala hz otkuda ona)?
-a gde mozno atapi.sys dostat eshe? dlya Windows 6.0.6001 Service Pack 1?

[PavelA]

После лечения Доктором логи AVZ так и не получается сделать?
TDSSKiller от Касперского есть, надо им провериться.

[caleefornyah]

sha delal "polnuyu proverku" dr web'om i zasnul )

После лечения Доктором логи AVZ так и не получается сделать?

1.pri popytke sohranit file otcheta on opyat menya vykinul cherez sinii ekran.
2. logi AVZ (v safe mode) normalno sohranyalis s samogo nachala (nize dobavlen posledniy iz nih)

TDSSKiller от Касперского есть, надо им провериться.

TDSSKiller - est sha sdelayu

[caleefornyah]

sha poproboval TDSSkiller
on pishet - Driver load error! Press any key to continue...
i zakryvaetsya pri nazazatii lyuboi klavishi (vse delayu v safe mode moz izza etogo)

--ya tut podumal mozet byt mozno zamenit inficirovannyi atapi.sys na atapi.sys iz C:\Windows\System32\DriverStore\FileRepository\ s bolee rannei datoy sozdaniya\modify -hernyu naverno skazal

[Юрий Паршин]

sha poproboval TDSSkiller
on pishet - Driver load error! Press any key to continue...
i zakryvaetsya pri nazazatii lyuboi klavishi (vse delayu v safe mode moz izza etogo)

--ya tut podumal mozet byt mozno zamenit inficirovannyi atapi.sys na atapi.sys iz C:\Windows\System32\DriverStore\FileRepository\ s bolee rannei datoy sozdaniya\modify -hernyu naverno skazal

TDSSKiller надо запускать в нормальном режиме (не SafeMode)

[caleefornyah]

TDSSKiller надо запускать в нормальном режиме (не SafeMode)

yasno sha poprobuyu

Добавлено через 9 минут

poproboval v normalnom mode nachinayutsya tormoza i zavisaet - te voobshe nichego ne sdelat; no v rezime otladki (esli snyat markery so vseh v start upe) - to ne visnit, sha v rezime otladki zapushu

[caleefornyah]

1. prokatil v normal mode (diagnostic start up v msconfig) (screen attached)
2. rebootnulsya i povtoril (normal mode diagnostic startup) (screen attached)
3. dalee msconfig normal startup reboott
4. normal mod full starup (screen dobavlen)
--Энд Вуалла!! - все вроде пашет -
- но Касперский drWeb и Avast пишут ошибку и закрываются и центр безопасности (security Center) Винды не доступен
- надо наверное чтоото для профилактики сделать может быть не все зачистилось?
большое спасибо PavelA и Юрий Паршин -


PS. вспомнил последнюю прогукоторую я качал педед вирем - memory optimizer

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 19
• В ходе лечения вредоносные программы в карантинах не обнаружены