Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Download Master K706113100 на 4460 (заявка № 65265)

  1. #1
    Junior Member Репутация
    Регистрация
    26.12.2009
    Сообщений
    11
    Вес репутации
    30

    Thumbs up Download Master K706113100 на 4460

    Собственно тоже самое, что и
    http://virusinfo.info/showthread.php?t=65224
    - Прогнал Dr.Web CureIt - нашел несколько Winlock.569 удалил.
    Проблема осталась.

    - Пробовал загружаться с Hiren Boot CD и запускать AVPTool - почему-то не работает.

    - Загрузился и просканировал Kasperesky Rescue Disk 8.8.1.36 Build 26.12.2009
    Что-то нашел, удалил - банер остался.

    - Пробовал также без особых успехов Dr.Web LiveCD - ничего не нашел.

    В данный момент банер появлятся в обычном и безопасном режиме под любым пользователем с администраторскими правами.
    Запустить в безопасном режиме с флешки AVZ (в том числе полиморфный), OSAM (переименованный) HiJackThis (тоже переименованный), AVPTool не получается.

    Восстановление системы заблокировано групповой политикой. Запустить gpedit.msc не получается - вылетает.

    Получилось отключать банер в безопасном режиме путем открытия свойств экрана. Но никакие утилиты из арсенала VirusInfo не запускаются.

    Что делать?

    Добавлено через 1 час 22 минуты

    up

    Добавлено через 59 минут

    При запуске get.exe (get3.exe) появляется только новый банер,
    файлов с расширением sys не появляется.
    Ну что, сносить систему что ль?

    Добавлено через 8 часов 38 минут

    Очень прошу помочь!
    Уж очень не хочется все переустанавливать...
    Последний раз редактировалось jiltsovs; 28.12.2009 в 09:24. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
    2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
    3) Запустить утилиту AVPTool и провести полное сканирование ПК;
    4) Перезагрузить компьютер.

  4. #3
    Junior Member Репутация
    Регистрация
    26.12.2009
    Сообщений
    11
    Вес репутации
    30
    Да блин, ну что ж вы одно и тоже....
    Написал же, что данные методы не проходят.
    AVPTool на зараженной системе не запускается.
    В среде WinPE (LiveCD) постоянно падает.
    cureit! что-то находит, но это не избавляет от банера.
    LiveCD от Касперского и Dr.Web'а что-то находят, но бестолку все - банер остается.

    Ладно. Наконец удалось самостоятельно избавится от банера.
    Делал это так.
    1. Вставил флешку в зараженный компьютер.
    Естественно он записал в RECYCLER себя в виде нескольких *.dll со случайным именем и размером 147 998 байт и autorun.inf.
    2. Запустил поиск всех dll с указанным размером по диску на зараженной системе.
    3. Удалил эти dll (именно с этим размером 147 998 байт, нашлись они в Winodws\system32, Windows\Temp, dllcache и временных папках пользователя от которого пошло заражение - штук 20 со случайными именами). Перезагрузился.
    4. Теперь банера нет. Запустил наконец AVPTool на зараженной системе.
    Сейчас идет сканирование.

    Проблема пока в том, что я не могу управлять отключением восстановления системы. Просто нет соответствующей вкладки в свойствах системы.
    Последний раз редактировалось jiltsovs; 28.12.2009 в 10:50.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполняйте правила.

  6. #5
    Junior Member Репутация
    Регистрация
    26.12.2009
    Сообщений
    11
    Вес репутации
    30
    Цитата Сообщение от snifer67 Посмотреть сообщение
    Выполняйте правила.
    Стараюсь, но это не всегда получается...

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    402
    Нужны логи, иначе мы не сможем Вам помочь.

  8. #7
    Junior Member Репутация
    Регистрация
    26.12.2009
    Сообщений
    11
    Вес репутации
    30
    - AVPTool ничего не нашел.

    - Вход пользователя в систему (загрузка параметров и рабочего стола) осуществляется несколько минут.

    - Служба восстановления системы в списке есть, но не запускается - не удается найти указанный файл. Соответственно отключить/включить я ее не могу.

    - Установленный Касперский 2010 не запускается - В Event Log'е пишет, что доступ к исполняемым файлам был ограничен Администратором.

    - Диспетчер задач и редактор реестра также не запускаются - отключены Администратором.

    Есть также virusinfo_cure.zip

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Пофиксить в HijackThis
    Код:
    F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    ПК перезагрузите.

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\asjjtr.dll','');
    DeleteFile('C:\WINDOWS\system32\asjjtr.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(11);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи.

  10. #9
    Junior Member Репутация
    Регистрация
    26.12.2009
    Сообщений
    11
    Вес репутации
    30
    Все выполнил.
    Установленный Касперский 2010 по-прежнему не запускается. Служба восстановления системы также не стартует.
    Диспетчер задач и редактор реестра заработали.

    В карантине было две папки - одна с файлом, другая - пустая. Выслал тот файлик что был.

    Логи сейчас будут...

  11. #10
    Junior Member Репутация
    Регистрация
    26.12.2009
    Сообщений
    11
    Вес репутации
    30
    Новые логи.

    Пока остались проблемы с запуском Касперского 2010.
    Event Log:
    Тип события: Предупреждение
    Источник события: Software Restriction Policies
    Категория события: Отсутствует
    Код события: 866
    Дата: 28.12.2009
    Время: 14:18:04
    Пользователь: Н/Д
    Компьютер: WS30
    Описание:
    Доступ к C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe был ограничен Администратором по расположению правилом политики {351c2089-6a73-40cd-b966-4615915e8bee}, расположенной в C:\Program Files\Kaspersky Lab



    Тип события: Ошибка
    Источник события: DCOM
    Категория события: Отсутствует
    Код события: 10000
    Дата: 28.12.2009
    Время: 14:17:17
    Пользователь: WS30\adm
    Компьютер: WS30
    Описание:
    Не удается запустить сервер DCOM: {41C8D38D-3B56-4AF4-8BC2-361BC6ADED23}. Ошибка:
    "Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения. За дополнительной информацией обратитесь к системному администратору или откройте "Просмотр событий". "
    возникла при запуске команды:
    "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe" -Embedding


    странное имя файла у Касперского.


    И не запускается служба восстановления:
    Тип события: Ошибка
    Источник события: Service Control Manager
    Категория события: Отсутствует
    Код события: 7023
    Дата: 28.12.2009
    Время: 14:15:01
    Пользователь: Н/Д
    Компьютер: WS30
    Описание:
    Служба "Служба восстановления системы" завершена из-за ошибки
    Не удается найти указанный файл.


    Еще какая-то служба не запускается:
    Тип события: Ошибка
    Источник события: SRService
    Категория события: Отсутствует
    Код события: 104
    Дата: 28.12.2009
    Время: 14:15:00
    Пользователь: Н/Д
    Компьютер: WS30
    Описание:
    Ошибка в процессе инициализации восстановления системы.
    Данные:
    0000: 02 00 00 00 ....





    Тип события: Предупреждение
    Источник события: Software Restriction Policies
    Категория события: Отсутствует
    Код события: 866
    Дата: 28.12.2009
    Время: 14:15:07
    Пользователь: Н/Д
    Компьютер: WS30
    Описание:
    Доступ к C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe был ограничен Администратором по расположению правилом политики {351c2089-6a73-40cd-b966-4615915e8bee}, расположенной в C:\Program Files\Kaspersky Lab

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    вот этот ключ пришлите из реестра, если он есть:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    402
    Отключите восстановление системы!!!
    Выполните скрипт
    Код:
    begin
    SetAVZPMStatus(True);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\asjjtr.dll','');
    DeleteFile('C:\WINDOWS\system32\asjjtr.dll');
    BC_ImportAll;
    ExecuteSysClean;
    Executerepair(6);
    BC_Activate;
    RebootWindows(true);
    end.
    Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

  14. #13
    Junior Member Репутация
    Регистрация
    26.12.2009
    Сообщений
    11
    Вес репутации
    30
    Цитата Сообщение от PavelA Посмотреть сообщение
    вот этот ключ пришлите из реестра, если он есть:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths
    Ветка во вложении.

  15. #14
    Junior Member Репутация
    Регистрация
    26.12.2009
    Сообщений
    11
    Вес репутации
    30
    [QUOTE=shapel;547568]Отключите восстановление системы!!!
    QUOTE]

    ДАННАЯ СЛУЖБА НЕ ЗАПУЩЕНА!!!
    УПРАВЛЯТЬ Я ЕЙ НЕ МОГУ!
    ЕЕ ПРОСТО НЕТ В СИСТЕМЕ - СМ. ВЫШЕ!

    Добавлено через 10 минут

    'C:\WINDOWS\system32\asjjtr.dll'
    такого файла нет.
    Последний раз редактировалось jiltsovs; 28.12.2009 в 15:02. Причина: Добавлено

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Все что, в том ключе связано с Касперским, удалите.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    26.12.2009
    Сообщений
    11
    Вес репутации
    30
    Цитата Сообщение от PavelA Посмотреть сообщение
    Все что, в том ключе связано с Касперским, удалите.
    Большое спасибо, Касперский заработал.

    Добавлено через 1 час 13 минут

    Служба восстановления системы тоже заработала.
    Делал так.
    1. Удалил скрытую папку C:\System Volume Information. Перезагрузился. Проблему это не решило - служба все равно не загружалась.
    2. Запустил Process Monitor (http://technet.microsoft.com/en-us/s...645.aspx)чтобы посмотреть какой файл не находит служба при запуске. Ругалась на файл _filelst.cfg
    \_filelst.cfg PATH NOT FOUND Attributes: Error
    3. Дал полные права на новую папку C:\System Volume Information текущему посльзователю. Посмотрел ее содержание. Т.к. точек восстановления не было, то и этого файла там нет.
    4. Запустил Пуск - Программы - Стандартные - Служебные - Восстановление системы. Запустилось все успешно. Создал точку восстановления. Похоже в этот момент запустилась сама служба восстановления.
    Появилась вкладка "Восстановление системы" в Свойствах системы. В соответствии с "Правилами" отключил восстановление системы.
    5. Теперь служба нормально запускается при старте.
    Последний раз редактировалось jiltsovs; 28.12.2009 в 20:04. Причина: Добавлено

  18. #17
    Junior Member Репутация
    Регистрация
    26.12.2009
    Сообщений
    11
    Вес репутации
    30
    Вроде система вылечена.
    Прогнал еще раз сканирование установленным Касперским 2010. Ничего не обнаружил.
    Взляните на логи.
    Карантин пуст.
    Мне можно теперь включить восстановление системы?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Мне можно теперь включить восстановление системы?
    Да.

    С логами все нормально.

  20. #19
    Junior Member Репутация
    Регистрация
    26.12.2009
    Сообщений
    11
    Вес репутации
    30
    Большое спасибо всем тем кто помогал избавиться от этой бяки.
    Всего доброго!
    P.S. Добавьте тогда [Излечено] к теме.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Модеры добавят

  • Уважаемый(ая) jiltsovs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 20.01.2010, 20:51
    2. Download Master sms 4460
      От Ikaku25 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 16.01.2010, 07:58
    3. Лечение последствий Download Master K706113100 на 4460
      От maximpn в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 05.01.2010, 16:28
    4. download master/4460
      От witl в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.12.2009, 23:03
    5. Download Master, SMS 4460
      От nictrace в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.12.2009, 10:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01316 seconds with 16 queries