-
Junior Member
- Вес репутации
- 52
EKav...
Помогите восстановится после Екава...
Есть вирус Екав... Он заблокировал KIS 8, диспетчер задач, некоторые программы (AVZ в том числе). IE работает только если ничего не упоминается про антивирусы, про EKav Antivirus... А так при попытке зайти на Ваш сайт перезагрузка. Зашел с помощью LiveCD проверял КИС 8(базы за 21.12.09), и НОДом ничего не нашло...
Потом прасканирув с помощью Gmer, я нашел Ads в файле netwv48.inf, я его скопировал на флешку, и удалил. Перегрузил компютер, и как бы проблемма пропала, но много ошибок из-за отсутствия даного файла. Я его назад скопировал, ошибки пропали, но и Ekav пока не беспокоит. Но и не работает КИС, пишет что заблокированом администратором.
Помогите пожалуйста, посмотрите логи. Я добавляю лог Gmer перед проблеммой и логи Avz полсе удаления и восстановления netwv48.inf.
Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 52
-
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Inf\netwv48.inf:E17I','');
DeleteFile('C:\WINDOWS\Inf\netwv48.inf:E17I');
ExecuteRepair(11);
ExecuteRepair(17);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Прислать карантин через красную ссылку
Сделать заново логи. Гмер можно не делать.
В AVZ запустить Мастер поиска и устранения проблем и исправить:
>> Заблокированы настройки системы System Restore
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Вот сделал логи. Извиняюсь что долго не отвечал, не было интернета...
А еще вопрос.а почему не работает Касперский? Ну он перестал работать после вируса. Пишет, что невозможно открыть из-за политики ограничения...
Карантин тоже отправил.
Последний раз редактировалось Vzhuk; 09.01.2010 в 18:04.
-
В карантине есть файлы? AVZ - Просмотр карантина.
Скрипт предыдущий повтори.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
нет за 9 число нет. Я отправил за 8.
Скрипт повторять?
-
Да, Восстановление же системы отключили. М.б. поможет
И затем станд скрипт №2 сделай, лог прислать.
netwv48.inf надо будет восстановить с дистрибутива.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Но ошибок никаких не пишет.
Я когда удалил Gmerом писало кучу ошибок при загрузке, что нету netwv48.inf, а когда Ваш скрипт выполнил, все нормально без ошибок.
Одно только не запускается Касперский.
-
Junior Member
- Вес репутации
- 52
Опять файл забыл прикрепить.
-
В реестре ищешь:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths
Удаляешь все, что связано с Касперским.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Все Касперский запустился. Спасибо большое.
Если в логе ничего страшного не было, то можна тему закрывать и удалять.
Еще раз спасибо!
-
Да, нет еще не все.
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\Inf\netwv48.inf:E17I" -- вот с этой строчкой надо разобраться.
Касперский 2009 у меня этого зверя знает. Так что напускай своего на директорию
C:\WINDOWS\Inf
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 52
Щас проверю.
Проверил. Нашло вирус Trojan-Ransom.Win32.SMSer.vn
Последний раз редактировалось Vzhuk; 09.01.2010 в 20:06.
-
Junior Member
- Вес репутации
- 52
Проверил Касперским с новими базами, нашло вирус Trojan-Ransom.Win32.SMSer.vn, и в каспере написало что удалило. Проверяю вновь, ничего не находит.
Но выполняю скрипт №2, и там есть Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\Inf\netwv48.inf:E17I"
Что же дальше делать?
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Inf\netwv48.inf:E17I');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Inf\netwv48.inf:E17I', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', ','));
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
3. Повторите лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 52
-
Ничего зловредного в логах не увидела. Файл hosts правили сами?
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 52
Нет файл не я правил. А что с ним? Это комп моей мамы. Ей нужно было помочь исправить его.
Спасибо за Помощь! Можете удалять данную тему.
-
Сообщение от
Vzhuk
Нет файл не я правил. А что с ним?
Вот эти записи:
172.217.96.10 glybock03r
172.216.1.9 chernovtsy
172.216.1.10 chernovtsy
172.217.96.10 glybock03r
Но это не критично.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 52
не я их писал, но они нужные