-
Junior Member
- Вес репутации
- 53
Download Master K706113100 на 4460
Собственно тоже самое, что и
http://virusinfo.info/showthread.php?t=65224
- Прогнал Dr.Web CureIt - нашел несколько Winlock.569 удалил.
Проблема осталась.
- Пробовал загружаться с Hiren Boot CD и запускать AVPTool - почему-то не работает.
- Загрузился и просканировал Kasperesky Rescue Disk 8.8.1.36 Build 26.12.2009
Что-то нашел, удалил - банер остался.
- Пробовал также без особых успехов Dr.Web LiveCD - ничего не нашел.
В данный момент банер появлятся в обычном и безопасном режиме под любым пользователем с администраторскими правами.
Запустить в безопасном режиме с флешки AVZ (в том числе полиморфный), OSAM (переименованный) HiJackThis (тоже переименованный), AVPTool не получается.
Восстановление системы заблокировано групповой политикой. Запустить gpedit.msc не получается - вылетает.
Получилось отключать банер в безопасном режиме путем открытия свойств экрана. Но никакие утилиты из арсенала VirusInfo не запускаются.
Что делать?
Добавлено через 1 час 22 минуты
up
Добавлено через 59 минут
При запуске get.exe (get3.exe) появляется только новый банер,
файлов с расширением sys не появляется.
Ну что, сносить систему что ль?
Добавлено через 8 часов 38 минут
Очень прошу помочь!
Уж очень не хочется все переустанавливать...
Последний раз редактировалось jiltsovs; 28.12.2009 в 09:24.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.
-
-
Junior Member
- Вес репутации
- 53
Да блин, ну что ж вы одно и тоже....
Написал же, что данные методы не проходят.
AVPTool на зараженной системе не запускается.
В среде WinPE (LiveCD) постоянно падает.
cureit! что-то находит, но это не избавляет от банера.
LiveCD от Касперского и Dr.Web'а что-то находят, но бестолку все - банер остается.
Ладно. Наконец удалось самостоятельно избавится от банера.
Делал это так.
1. Вставил флешку в зараженный компьютер.
Естественно он записал в RECYCLER себя в виде нескольких *.dll со случайным именем и размером 147 998 байт и autorun.inf.
2. Запустил поиск всех dll с указанным размером по диску на зараженной системе.
3. Удалил эти dll (именно с этим размером 147 998 байт, нашлись они в Winodws\system32, Windows\Temp, dllcache и временных папках пользователя от которого пошло заражение - штук 20 со случайными именами). Перезагрузился.
4. Теперь банера нет. Запустил наконец AVPTool на зараженной системе.
Сейчас идет сканирование.
Проблема пока в том, что я не могу управлять отключением восстановления системы. Просто нет соответствующей вкладки в свойствах системы.
Последний раз редактировалось jiltsovs; 28.12.2009 в 10:50.
-
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
snifer67
Выполняйте правила.
Стараюсь, но это не всегда получается...
-
Нужны логи, иначе мы не сможем Вам помочь.
-
-
Junior Member
- Вес репутации
- 53
- AVPTool ничего не нашел.
- Вход пользователя в систему (загрузка параметров и рабочего стола) осуществляется несколько минут.
- Служба восстановления системы в списке есть, но не запускается - не удается найти указанный файл. Соответственно отключить/включить я ее не могу.
- Установленный Касперский 2010 не запускается - В Event Log'е пишет, что доступ к исполняемым файлам был ограничен Администратором.
- Диспетчер задач и редактор реестра также не запускаются - отключены Администратором.
Есть также virusinfo_cure.zip
-
Пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
ПК перезагрузите.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\asjjtr.dll','');
DeleteFile('C:\WINDOWS\system32\asjjtr.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 53
Все выполнил.
Установленный Касперский 2010 по-прежнему не запускается. Служба восстановления системы также не стартует.
Диспетчер задач и редактор реестра заработали.
В карантине было две папки - одна с файлом, другая - пустая. Выслал тот файлик что был.
Логи сейчас будут...
-
Junior Member
- Вес репутации
- 53
Новые логи.
Пока остались проблемы с запуском Касперского 2010.
Event Log:
Тип события: Предупреждение
Источник события: Software Restriction Policies
Категория события: Отсутствует
Код события: 866
Дата: 28.12.2009
Время: 14:18:04
Пользователь: Н/Д
Компьютер: WS30
Описание:
Доступ к C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe был ограничен Администратором по расположению правилом политики {351c2089-6a73-40cd-b966-4615915e8bee}, расположенной в C:\Program Files\Kaspersky Lab
Тип события: Ошибка
Источник события: DCOM
Категория события: Отсутствует
Код события: 10000
Дата: 28.12.2009
Время: 14:17:17
Пользователь: WS30\adm
Компьютер: WS30
Описание:
Не удается запустить сервер DCOM: {41C8D38D-3B56-4AF4-8BC2-361BC6ADED23}. Ошибка:
"Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения. За дополнительной информацией обратитесь к системному администратору или откройте "Просмотр событий". "
возникла при запуске команды:
"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe" -Embedding
странное имя файла у Касперского.
И не запускается служба восстановления:
Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7023
Дата: 28.12.2009
Время: 14:15:01
Пользователь: Н/Д
Компьютер: WS30
Описание:
Служба "Служба восстановления системы" завершена из-за ошибки
Не удается найти указанный файл.
Еще какая-то служба не запускается:
Тип события: Ошибка
Источник события: SRService
Категория события: Отсутствует
Код события: 104
Дата: 28.12.2009
Время: 14:15:00
Пользователь: Н/Д
Компьютер: WS30
Описание:
Ошибка в процессе инициализации восстановления системы.
Данные:
0000: 02 00 00 00 ....
Тип события: Предупреждение
Источник события: Software Restriction Policies
Категория события: Отсутствует
Код события: 866
Дата: 28.12.2009
Время: 14:15:07
Пользователь: Н/Д
Компьютер: WS30
Описание:
Доступ к C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe был ограничен Администратором по расположению правилом политики {351c2089-6a73-40cd-b966-4615915e8bee}, расположенной в C:\Program Files\Kaspersky Lab
-
вот этот ключ пришлите из реестра, если он есть:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Отключите восстановление системы!!!
Выполните скрипт
Код:
begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\asjjtr.dll','');
DeleteFile('C:\WINDOWS\system32\asjjtr.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
BC_Activate;
RebootWindows(true);
end.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
PavelA
вот этот ключ пришлите из реестра, если он есть:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths
Ветка во вложении.
-
Junior Member
- Вес репутации
- 53
[QUOTE=shapel;547568]Отключите восстановление системы!!!
QUOTE]
ДАННАЯ СЛУЖБА НЕ ЗАПУЩЕНА!!!
УПРАВЛЯТЬ Я ЕЙ НЕ МОГУ!
ЕЕ ПРОСТО НЕТ В СИСТЕМЕ - СМ. ВЫШЕ!
Добавлено через 10 минут
'C:\WINDOWS\system32\asjjtr.dll'
такого файла нет.
Последний раз редактировалось jiltsovs; 28.12.2009 в 15:02.
Причина: Добавлено
-
Все что, в том ключе связано с Касперским, удалите.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 53
Сообщение от
PavelA
Все что, в том ключе связано с Касперским, удалите.
Большое спасибо, Касперский заработал.
Добавлено через 1 час 13 минут
Служба восстановления системы тоже заработала.
Делал так.
1. Удалил скрытую папку C:\System Volume Information. Перезагрузился. Проблему это не решило - служба все равно не загружалась.
2. Запустил Process Monitor (http://technet.microsoft.com/en-us/s...645.aspx)чтобы посмотреть какой файл не находит служба при запуске. Ругалась на файл _filelst.cfg
\_filelst.cfg PATH NOT FOUND Attributes: Error
3. Дал полные права на новую папку C:\System Volume Information текущему посльзователю. Посмотрел ее содержание. Т.к. точек восстановления не было, то и этого файла там нет.
4. Запустил Пуск - Программы - Стандартные - Служебные - Восстановление системы. Запустилось все успешно. Создал точку восстановления. Похоже в этот момент запустилась сама служба восстановления.
Появилась вкладка "Восстановление системы" в Свойствах системы. В соответствии с "Правилами" отключил восстановление системы.
5. Теперь служба нормально запускается при старте.
Последний раз редактировалось jiltsovs; 28.12.2009 в 20:04.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
Вроде система вылечена.
Прогнал еще раз сканирование установленным Касперским 2010. Ничего не обнаружил.
Взляните на логи.
Карантин пуст.
Мне можно теперь включить восстановление системы?
-
Мне можно теперь включить восстановление системы?
Да.
С логами все нормально.
-
-
Junior Member
- Вес репутации
- 53
Большое спасибо всем тем кто помогал избавиться от этой бяки.
Всего доброго!
P.S. Добавьте тогда [Излечено] к теме.
-
Модеры добавят
-