проверил диск с другого компьютера. удалились 500 вирусов. но после этого не могу установить касперского. Пожалуйста помогите. логи прилагаю
проверил диск с другого компьютера. удалились 500 вирусов. но после этого не могу установить касперского. Пожалуйста помогите. логи прилагаю
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642122}'); QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe',''); QuarantineFile('C:\WINDOWS\wt\updater\wcmdmgrl.exe',''); QuarantineFile('C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf',''); QuarantineFile('C:\WINDOWS\system32\updater.exe',''); QuarantineFile('C:\WINDOWS\system32\uV4kFmSjPK7eKfenjpv9Ct.inf',''); QuarantineFile('C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf',''); QuarantineFile('C:\WINDOWS\system32\ndxq9awMc.dll',''); QuarantineFile('C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf',''); QuarantineFile('C:\WINDOWS\system32\dhDhwS7fFW.dll',''); QuarantineFile('C:\WINDOWS\system32\aR5azFSWstNWktJjswK5.inf',''); QuarantineFile('C:\WINDOWS\system32\X5T4kV8DNmMbdRXAUx82K.inf',''); QuarantineFile('C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf',''); QuarantineFile('C:\WINDOWS\system32\SCEVFJRCmaB7.dll',''); QuarantineFile('C:\WINDOWS\system32\S5kSrtwDf35EW9f2kBDF.inf',''); QuarantineFile('C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll',''); QuarantineFile('C:\WINDOWS\system32\P6VyQtQJUYa3rFan7J.inf',''); QuarantineFile('C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf',''); QuarantineFile('C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf',''); QuarantineFile('C:\WINDOWS\system32\FXNEE8UE86dAU4wwQSW.inf',''); QuarantineFile('C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf',''); QuarantineFile('C:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf',''); QuarantineFile('C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf',''); QuarantineFile('C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll',''); QuarantineFile('C:\WINDOWS\system32\2EF0D734.dll',''); QuarantineFile('C:\WINDOWS\system32\122B901E.dll',''); QuarantineFile('C:\WINDOWS\system32\08223B03.dll',''); QuarantineFile('C:\WINDOWS\fonts\A97CRaCB.fon',''); QuarantineFile('C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf',''); QuarantineFile('C:\WINDOWS\Tasks\txPsQUxAThX8QTR6s6Yn.inf',''); QuarantineFile('C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf',''); QuarantineFile('C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf',''); QuarantineFile('C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf',''); QuarantineFile('C:\WINDOWS\Tasks\2VeFNvQbcyFhKUaXTVE9.inf',''); QuarantineFile('C:\WINDOWS\system32\drivers\pcidump.sys',''); QuarantineFile('C:\WINDOWS\system32\0157.tmp',''); DeleteService('hgcjcmhc'); SetServiceStart('foft', 4); DeleteService('foft'); QuarantineFile('C:\WINDOWS\system32\Drivers\ukhkq.sys',''); QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe',''); QuarantineFile('C:\WINDOWS\system32\windswe.exe',''); QuarantineFile('C:\WINDOWS\system32\4AUUOAWZYP\J001.exe',''); QuarantineFile('C:\WINDOWS\system32\4AUUOAWZYP\J002.exe',''); QuarantineFile('C:\WINDOWS\system32\WZ73F6CHRD\J002.exe',''); DeleteService('WinHelp32'); DeleteService('windswe'); DeleteService('windows_0'); DeleteService('vice'); DeleteService('re'); QuarantineFile('C:\WINDOWS\system32\spool\drivers\NetworkAgentServices.exe',''); QuarantineFile('C:\WINDOWS\system32\GZUB1KFKW8\G001.exe',''); QuarantineFile('C:\WINDOWS\nhg.exe',''); QuarantineFile('C:\WINDOWS\system32\GZUB1KFKW8\F001.exe',''); QuarantineFile('C:\WINDOWS\Atds.exe',''); DeleteService('Atdx'); DeleteService('Nationalnod32'); DeleteService('n hj'); DeleteService('ferst'); QuarantineFile('C:\WINDOWS\System32\BtSrv.exe',''); DeleteService('BitSrv'); DeleteFile('C:\WINDOWS\System32\BtSrv.exe'); DeleteFile('C:\WINDOWS\Atds.exe'); DeleteFile('C:\WINDOWS\system32\GZUB1KFKW8\F001.exe'); DeleteFile('C:\WINDOWS\nhg.exe'); DeleteFile('C:\WINDOWS\system32\GZUB1KFKW8\G001.exe'); DeleteFile('C:\WINDOWS\system32\WZ73F6CHRD\J002.exe'); DeleteFile('C:\WINDOWS\system32\4AUUOAWZYP\J002.exe'); DeleteFile('C:\WINDOWS\system32\4AUUOAWZYP\J001.exe'); DeleteFile('C:\WINDOWS\system32\windswe.exe'); DeleteFile('C:\WINDOWS\system32\WinHelp32.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\ukhkq.sys'); DeleteFile('C:\WINDOWS\system32\0157.tmp'); DeleteFile('C:\WINDOWS\Tasks\2VeFNvQbcyFhKUaXTVE9.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{0DCB6565-A9F9-41CA-97E1-65F4A6345F3E}'); DeleteFile('C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{7488E47D-E8F3-41C0-B2DA-9B2BD8803A80}'); DeleteFile('C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{A2BCFCEE-C939-433F-A32A-7353A6E720DB}'); DeleteFile('C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B9D0F4D7-C809-4C27-9CB4-63201DFB3D05}'); DeleteFile('C:\WINDOWS\Tasks\txPsQUxAThX8QTR6s6Yn.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B6C3510F-2666-496B-A46F-6EEFD6328C2B}'); DeleteFile('C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{6049BC02-7EDA-4C41-B4AB-D5398607C39E}'); DeleteFile('C:\WINDOWS\fonts\A97CRaCB.fon'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}'); DeleteFile('C:\WINDOWS\system32\08223B03.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}'); DeleteFile('C:\WINDOWS\system32\122B901E.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}'); DeleteFile('C:\WINDOWS\system32\2EF0D734.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{2EF0D734-21FD-4225-A1A2-BCD296182AAF}'); DeleteFile('C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{87DE8A1A-96C5-4420-B222-EF998F697CE7}'); DeleteFile('C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{1719B301-B494-4185-9379-242461F9CF02}'); DeleteFile('C:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{CB661471-055A-4C5B-9ED0-497B9908FEF5}'); DeleteFile('C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{D36A1DF7-6582-4160-B925-59A34E39FE30}'); DeleteFile('C:\WINDOWS\system32\FXNEE8UE86dAU4wwQSW.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B7D21764-31A1-4B15-B975-8AAA398CE07F}'); DeleteFile('C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C}'); DeleteFile('C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{20CFDC59-228C-481F-80B6-404BCFA16B13}'); DeleteFile('C:\WINDOWS\system32\P6VyQtQJUYa3rFan7J.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{E16EA4C8-040B-4A12-A0F5-783963AD665D}'); DeleteFile('C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{51716C09-6B08-4CCF-B526-718E912C0573}'); DeleteFile('C:\WINDOWS\system32\S5kSrtwDf35EW9f2kBDF.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{C20C5A13-4DD7-40D9-90B4-700BAB0BBBE9}'); DeleteFile('C:\WINDOWS\system32\SCEVFJRCmaB7.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{CD478099-014D-4B3A-A4BB-B518F1019BC7}'); DeleteFile('C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE}'); DeleteFile('C:\WINDOWS\system32\X5T4kV8DNmMbdRXAUx82K.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{CE38B9E6-AF0C-4B93-AFAB-A20C2311FFD0}'); DeleteFile('C:\WINDOWS\system32\aR5azFSWstNWktJjswK5.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{3F86C1E9-E95A-41AF-AD72-7D9A1742232D}'); DeleteFile('C:\WINDOWS\system32\dhDhwS7fFW.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}'); DeleteFile('C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{8A6A5B34-D995-4C5D-9338-B5E264B4A87}'); DeleteFile('C:\WINDOWS\system32\ndxq9awMc.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}'); DeleteFile('C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{335A9BAE-19FA-42F2-AFD2-20C3275EF392}'); DeleteFile('C:\WINDOWS\system32\uV4kFmSjPK7eKfenjpv9Ct.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{9C20D654-5AF8-4DB7-A125-1A17D7065C73}'); DeleteFile('C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{74DA2FEC-F68F-4DC7-9A45-9174AC044427}'); DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe'); DeleteFileMask('C:\RESTORE', '*.*', true); DeleteDirectory('C:\RESTORE'); DeleteFileMask('C:\System Volume Information\_restore{BF59517A-453F-4DF0-819B-113DB545ED94}\RP242', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); SetAVZPMStatus(True); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Последний раз редактировалось thyrex; 12.10.2009 в 00:58.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
при проверке синтаксиса - ошибка:
")" в позиции 138:41
Поправил скрипт
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
отправил карантин - 091012_014116_virus_4ad250fc74b51.zip
сделал новые логи
касперский установился и обновился,
но все равно прошу посмотреть
Выполните скрипт в avz
ПК перезагрузится.Код:begin SetAVZPMStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\wt\updater\wtisa.dll',''); QuarantineFile('C:\WINDOWS\wt\wtvh.dll',''); QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wtwmplug.ax',''); QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wtvh.dll',''); QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wtmulti.jar',''); QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wthostctl.dll',''); QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\wthost.exe',''); QuarantineFile('C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.3.1.001\webdriver.dll',''); QuarantineFile('C:\WINDOWS\wt\webdriver\wtwmplug.ax',''); QuarantineFile('C:\WINDOWS\wt\webdriver\wtmulti.jar',''); QuarantineFile('C:\WINDOWS\wt\webdriver\wthostctl.dll',''); QuarantineFile('C:\WINDOWS\wt\webdriver\wthost.exe',''); QuarantineFile('C:\WINDOWS\wt\webdriver\webdriver.dll',''); QuarantineFile('C:\WINDOWS\wt\updater\wcmdmgrl.exe',''); QuarantineFile('C:\WINDOWS\system32\updater.exe',''); QuarantineFile('C:\Program Files\citysvyaz\citysvyaz.exe',''); QuarantineFile('C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\qvSPdARs5PQNKAzvezTuPcs.cur',''); QuarantineFile('C:\WINDOWS\system32\drivers\ukhkq.sys',''); DeleteService('foft'); StopService('foft'); DeleteFile('C:\WINDOWS\system32\drivers\ukhkq.sys'); DeleteFile('C:\WINDOWS\Downloaded Program Files\qvSPdARs5PQNKAzvezTuPcs.cur'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5B0C7E2C-3257-4619-8282-A173017B16E2}'); DeleteFile('C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{C07B914B-C164-42D2-9838-1422C3F70D99}'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; SetAVZGuardStatus(True); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118.
Сделайте новые логи.
Последний раз редактировалось snifer67; 13.10.2009 в 15:34.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; StopService('foft'); DeleteService('foft'); QuarantineFile('C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf',''); QuarantineFile('C:\WINDOWS\Downloaded Program Files\qvSPdARs5PQNKAzvezTuPcs.cur',''); DeleteFile('C:\WINDOWS\Downloaded Program Files\qvSPdARs5PQNKAzvezTuPcs.cur'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5B0C7E2C-3257-4619-8282-A173017B16E2}'); DeleteFile('C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{C07B914B-C164-42D2-9838-1422C3F70D99}'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пришлите согласно Приложения 2 правилКод:C:\WINDOWS\system32\drivers\pcidump.sys C:\WINDOWS\system32\spool\drivers\NetworkAgentServices.exe
Сделайте новые логи + лог gmer
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Всем большое спасибо за помощь
все работает
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 109
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\drivers\ukhkq.sys - Rootkit.Win32.Agent.usr ( BitDefender: Gen:Rootkit.Heur.bqW@h4gd8Yi, NOD32: Win32/Koutodoor.EK trojan, AVAST4: Win32:RtkDL [Rtk] )
Уважаемый(ая) АртСтас, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.