Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Еще один eKAV. (заявка № 65877)

  1. #1
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    32
    Вес репутации
    30

    Thumbs up Еще один eKAV.

    Помогите, словил вирус.
    Информер с номером 4460 сообщение K205114900.
    Блокирует все программы, антивирусы и regedit.
    Отменить восстановление системы не могу. Отсутствует соответствующая вкладка.
    Запустил AVZ c LiveCD.
    Сначала запустил скрипт с лечением, забыв про восстановление системы. Естественно вирус не пропал.
    Еще раз просканировал без лечения. Лог в аттаче.
    Еще вопрос можно ли редактировать реестр со второй партиции.
    У меня два XP. Со второго виден диск С зараженной системы?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('C:\WINDOWS\inf\camvid30.inf:DF2FBC:$DATA','');
     DeleteFile('C:\WINDOWS\inf\camvid30.inf:DF2FBC:$DATA');
     DeleteFileMask('%tmp% ','*.* ',true );
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    ExecuteWizard('SCU', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=65877

    4. Сделайте полный комплект логов.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    32
    Вес репутации
    30
    Спасибо за быстрый ответ.
    Только дело в том, что я не могу отключить восстановление системы.
    Вкладки такой нет. А в регедит зайти не могу. Вкладку восстановить не могу. Вирус не пущает.
    Могу ли править реестр зараженной системы со второй. У меня два ХР и с неё виден диск С системы с вирусом.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Цитата Сообщение от Ilgr Посмотреть сообщение
    Только дело в том, что я не могу отключить восстановление системы.
    Тогда пропустите...
    Сердце решает кого любить... Судьба решает с кем быть...

  6. #5
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    32
    Вес репутации
    30
    Понял.
    И еще один момент. AVZ могу запустить либо с LiveCD, либо со второй системы.
    Зараженная не дает запустить AVZ сразу перезагрузка.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Вы лог как делали?
    Сердце решает кого любить... Судьба решает с кем быть...

  8. #7
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    32
    Вес репутации
    30
    Первый лог я сделал с LiveCD.
    Ваши скрипты я запускал тоже с LiveCD, но использовал.....

    "В случае невозможности загрузки Windows ни в обычном режиме, ни в Безопасном режиме (SafeMode) логи можно выполнить загрузившись с LiveCD WinPE поддерживающей работу с удаленным реестром (версия размером 64 МБ http://exfile.ru/file/74614 без антивируса или размером 106 МБ http://files.wyw.ru/4202289 включающая NOD32 и ERD Commander).
    Для этого необходимо предварительно записать утилиты avz и hijackthis на флешку или другой раздел жесткого диска (другую установленную Windows). Затем загрузившись с этого LiveCD выбрать папки с содержащимися в них утилитами и затем кликнув правой кнопкой мышки по исполнительному файлу avz.exe или hijackthis.exe в появившемся контекстном меню выбрать "Запустить с удаленным реестром". Далее появится окно с выбором учетних записей больной системы. Надо выбрать Администратор и запустить утилиты.
    Далее в меню программы avz выбрать: Файл-Исследование системы. В разделе Службы и драйверы вместо "Только активные службы и драйверы" выбрать "Все службы и драйверы", в разделе Параметры дополнительно установить птичку "Создать ZIP архив с протоколом" и затем запустить исследование."

    Логи прилагаю.

    Карантин тоже выслал.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Попробуйте переименовать avz.exe на любое имя с расширением pif и выполнить такой скрипт:

    Код:
    begin
    ExecuteRepair(1);
    RebootWindows(true);
    end.
    После сделать логи с зараженной системы.
    Сердце решает кого любить... Судьба решает с кем быть...

  10. #9
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    32
    Вес репутации
    30
    Загрузился на зараженную систему.
    Информер пропал. Запустил AVZ-pif.
    Выполнил скрипт 3.
    логи прилагаю.
    Выполнил Ваш скрипт.
    Перезагрузка.
    Выполнил скрипт 2.
    Логи прилагаю.
    Теперь пробую восстановить вкладку "Восстановления системы"

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Лог HijackThis тоже сделайте.
    Сердце решает кого любить... Судьба решает с кем быть...

  12. #11
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    32
    Вес репутации
    30
    HijakThis лог.

    Мдя. Теперь не могу войти в регедит и в диспетчер задач.
    Администратор не позволяет.
    Последний раз редактировалось Ilgr; 04.01.2010 в 20:28.

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
    DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     QuarantineFile('C:\WINDOWS\Inf\camvid30.inf:DF2FBC','');
     QuarantineFile('D:\InstantGet\IGCatcher.dll','');
     QuarantineFile('C:\Documents and Settings\P\Local Settings\Application Data\FLVService\lib\FLVSrvLib.dll','');
     DelBHO('{E9598854-2569-48DF-9755-1D330BD50EDE}');
     DelBHO('{36ECAF82-3300-8F84-092E-AFF36D6C7040}');
     DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
     DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
     DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
     QuarantineFile('C:\WINDOWS\system32\drivers\ddnt.sys','');
     DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
     DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     DeleteFile('C:\WINDOWS\Inf\camvid30.inf:DF2FBC');
     DeleteFileMask('%tmp% ','*.* ',true );
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('TSW', 3, 3, true);
    ExecuteWizard('SCU', 3, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Выполните скрипт в AVZ:

    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=65877

    4. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

    5. Выполните http://virusinfo.info/showthread.php?t=3519
    Сердце решает кого любить... Судьба решает с кем быть...

  14. #13
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    32
    Вес репутации
    30
    Спасибо.
    В регедит и в диспетчер захожу.
    Логи выслал.
    Последний раз редактировалось pig; 04.01.2010 в 22:34. Причина: карантин - не сюда

  15. #14
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    1. Уберите файл карантина и приложите лог virusinfo_syscheck.
    2. Пункт 5 выполнили?
    Сердце решает кого любить... Судьба решает с кем быть...

  16. #15
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    32
    Вес репутации
    30
    По 5 пункту файл выслал - virusinfo_files_PAPA2.zip.
    Если нужно - повторю.
    Кстати, вкладку "Восстановление системы" я вернул, но она не активна.
    Последний раз редактировалось Ilgr; 04.01.2010 в 22:57.

  17. #16
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    32
    Вес репутации
    30
    Вкладку восстановил. Последствий вируса не замечаю.

    Очаровательной Aleksandra ОГРОМНОЕ СПАСИБО!

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:

    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\Inf\camvid30.inf:DF2FBC');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Inf\camvid30.inf:DF2FBC', ''));
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. Повторите лог virusinfo_syscheck.

  19. #18
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    32
    Вес репутации
    30
    Логи выслал.

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,712
    Вес репутации
    2829
    Чисто...
    Сердце решает кого любить... Судьба решает с кем быть...

  21. #20
    Junior Member Репутация
    Регистрация
    02.01.2010
    Сообщений
    32
    Вес репутации
    30
    Спасиб.
    Есть еще проблема. Не могу запустить DRweb.

    В журнале событий:
    Тип события: Предупреждение
    Источник события: Software Restriction Policies
    Категория события: Отсутствует
    Код события: 866
    Дата: 06.01.2010
    Время: 18:30:24
    Пользователь: Н/Д
    Компьютер: PAPA
    Описание:
    Доступ к C:\Program Files\DrWeb\spidergate.exe был ограничен Администратором по расположению правилом политики {2d304c0f-eb89-4b7d-b73a-80094f7998a2}, расположенной в C:\Program Files\DrWeb

  • Уважаемый(ая) Ilgr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. НИ ОДИН БРАУЗЕР НЕ ОТКРЫВАЕТ НИ ОДИН САЙТ!
      От Crashma в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.04.2012, 15:47
    2. eKAV не помог ни один антивирус.
      От Andrey789 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.01.2010, 14:47
    3. eKAV еще жив???
      От G.Sanders в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.01.2010, 00:55
    4. Копирование HD на другой HD "один-в-один"
      От Палыч в разделе Софт - общий
      Ответов: 1
      Последнее сообщение: 09.06.2007, 06:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00298 seconds with 16 queries