Блокировка антивирусов

**GeorgeM** · 25.06.2008, 10:17

Помогите!!!

Сайты Касперского и DrWeb не загружаются ни под каким видом!
Купил антивирус Касперского 7.0, установка не проходит до конца - нет активации программы, а сама программа не запускается...

Купил на dom.ru DrWeb, инсталляция выдает ошибку сразу после запроса о Лицензионном сообщении...

AVZ запустилась только после переименования...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Kuzz** · 25.06.2008, 10:32

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('aic32p');
 SetServiceStart('aic32p', 4);
 QuarantineFile('C:\WINDOWS\system32\drivers\njgqtn.sys','');
 QuarantineFile('c:\docume~1\de99~1\locals~1\temp\winnenta.exe','');
 QuarantineFile('c:\docume~1\de99~1\locals~1\temp\winmsnp.exe','');
 QuarantineFile('c:\docume~1\de99~1\locals~1\temp\winbottry.exe','');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\winbottry.exe');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\winmsnp.exe');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\winnenta.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25302

2.Если происхождение этих строк Вам не известно, пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225

3. Повторить логи.

**GeorgeM** · 26.06.2008, 09:16

Здравствуйте!

Скрипт выполнил.
При загрузке карантина по ссылке выдалась ошибка:
Unknown error. File not uploaded

Что дальше?

**Kuzz** · 26.06.2008, 11:15

А дальше -

Сообщение от Kuzz

3. Повторить логи.

**GeorgeM** · 26.06.2008, 11:51

Жду дальнейших указаний.

**Kuzz** · 26.06.2008, 12:41

Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

А базы обновлять необходимо.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\quicktime\qttask.exe','');
 QuarantineFile('C:\Program Files\Messenger\msmsgs.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\njgqtn.sys','');
 QuarantineFile('c:\docume~1\de99~1\locals~1\temp\winumkgrk.exe','');
 QuarantineFile('c:\docume~1\de99~1\locals~1\temp\wintwud.exe','');
 QuarantineFile('c:\docume~1\de99~1\locals~1\temp\winmbtbbc.exe','');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\winmbtbbc.exe');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\wintwud.exe');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\winumkgrk.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте логи снова.

**GeorgeM** · 26.06.2008, 13:55

А базы обновлять необходимо.

AVZ и HiJackThis скачал только на этой неделе... AVZ на всякий случай обновил перед созданием этих логов.

Или речь о "Центре обеспечения безопасности"? Включить обновления (как раз вирусов и боялся)?

**Kuzz** · 26.06.2008, 14:15

Речь шла именно об AVZ.
Выполните:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('mnmsrvc', 4);
 DeleteService('aic32p');
 SetServiceStart('aic32p', 4);
 StopService('aic32p');
 TerminateProcessByName('c:\docume~1\de99~1\locals~1\temp\winrghnk.exe');
 TerminateProcessByName('c:\docume~1\de99~1\locals~1\temp\windrtmx.exe');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\windrtmx.exe');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\winrghnk.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пофиксите:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225

Сделайте логи еще раз.
Добавлено через 3 минуты

И еще.
Обновлять систему все таки необходимо.
Обновления закрывают дыры, через которые троянописателям удаётся устанавливать в систему своих зверьков.

**GeorgeM** · 26.06.2008, 15:37

Done!

На каком мы сейчас этапе (% выполнения)?

**Kuzz** · 26.06.2008, 23:07

Эх.. К сожалению, мы все время возвращались к начальному состоянию

1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

2. Запустите, слева внизу нажмите File, затем найдите файлы:
c:\docume~1\de99~1\locals~1\temp\windqttb.exe
c:\docume~1\de99~1\locals~1\temp\winirik.exe
c:\docume~1\de99~1\locals~1\temp\winpmon.exe
C:\WINDOWS\system32\drivers\njgqtn.sys
и сделайте им Force Delete.

3. Пофиксите в HijackThis:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225

4. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('aic32p');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\windqttb.exe');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\winirik.exe');
 DeleteFile('c:\docume~1\de99~1\locals~1\temp\winpmon.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
После выполнения скрипта компьютер перезагрузится.
________________

После всего этого повторите логи.

**GeorgeM** · 27.06.2008, 14:52

Извините, но я не нахожу указанные файлы

c:\docume~1\de99~1\locals~1\temp\windqttb.exe
c:\docume~1\de99~1\locals~1\temp\winirik.exe
c:\docume~1\de99~1\locals~1\temp\winpmon.exe
C:\WINDOWS\system32\drivers\njgqtn.sys

**Kuzz** · 27.06.2008, 15:06

Не находите так, как указано по ссылке Force Delete?

**GeorgeM** · 27.06.2008, 15:13

Нет!
Ни внутри IceSword, ни в Проводнике, ни через Поиск не нахожу...
Да и папка c:\docume~1\de99~1\ не понятна... есть C:\Documents and Settings\Default User, других папок на de* нет.

C:\Documents and Settings\Default User\Local Settings\Temp вообще пуста

**Kuzz** · 27.06.2008, 15:16

Тогда в C:\Documents and Settings\Default User поищите.

**GeorgeM** · 27.06.2008, 15:18

Поисковик на всем С: таких файлов не находит...

**Kuzz** · 27.06.2008, 15:20

Речь идет о поиске и удалении файлов через IceSword

**GeorgeM** · 27.06.2008, 15:28

В IceSword тоже не нахожу, увы(((

**Kuzz** · 27.06.2008, 15:56

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('aic32p');
 DeleteFileMask('c:\docume~1\de99~1\locals~1\temp\','win*.exe',false);
 DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Еще раз сделать логи.

**GeorgeM** · 27.06.2008, 16:05

Ошибка скрипта: ';' expected, позиция [6:2]

**GeorgeM** · 27.06.2008, 17:05

Вот...

Блокировка антивирусов (заявка № 25302)

Опции темы

Блокировка антивирусов

Похожие темы

Блокировка антивирусов.

Блокировка антивирусов!

блокировка сайтов антивирусов и ВИ

блокировка всех антивирусов

Ваши права в разделе