Показано с 1 по 17 из 17.

Не работают NOD32 и Outpost. (заявка № 69407)

  1. #1
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    12
    Вес репутации
    52

    Question Не работают NOD32 и Outpost.

    Прошу помощи и разъяснения специалистов!
    Нахватал где-то заразы так, что перестал в любом режиме загружаться рабочий стол Windows XP3 (апгрейд из ХР2), кроме Win_U ничего не работало. После загрузки с другого винта нашел в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon строку Shell"="explorer.exe logon.exe. Удалил logon.exe - появился рабочий стол, правда при загрузке комп матерился,- то найти чего-то не мог, то память не может быть write и, кроме прочего из трея пропали значки Нода и Оутпоста. При запуске редактора реестра, AVZ, диспетчера задач выкидывало на перезагрузку. Загрузился с рабочего винта и убил Нодом штук 15 всякой дряни. Затем обновив AVZ более-менее восстановил больную систему и поймал еще несколько вирусов. Дальше пролечил свежим Dr. Web CureIt! и отловил еще несколько штук тварей, правда в том числе и закачанный мной exefix_xp.com. Вроде все поправилось, толь при загрузке выскакивало что не может найти "RunDll32.exe C:\\PROGRA~1\\IMAGE-~1\\FLSTUD~1\\OPENCA~1\\OCSETU~1.DLL,_MgrCheck@16" (правда что это такое я не знаю), поэтому из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run удалил строку "OCDLMgr"="RunDll32.exe C:\\PROGRA~1\\IMAGE-~1\\FLSTUD~1\\OPENCA~1\\OCSETU~1.DLL,_MgrCheck@16" , после чего вроде все поправилось.
    Дальше попытался переустановить NOD32, установка проходит нормально, но значка в трее не появляется и система безопасности тоже говорит, что антивируса нет. Пытался запустить его принудительно, -пишет "Невозможно открыть данную программу из-за политики ограничения данного программного обеспечения". Однако сервис ESET работает.
    Помогите пожалста разобраться с этой хренью!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Пофиксить в Hijack следующие строки:
    Код:
    O20 - AppInit_DLLs: C:\DOCUME~1\Home\LOCALS~1\Temp\mvbyy.dll prio.dll
    R3 - URLSearchHook: (no name) -  - (no file)
    Выполнить скрипт
    Код:
    begin
     SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Wyeke Service');
     StopService('Wyeke Service');
     QuarantineFile('C:\Program Files\Wyeke\wyeke.dll','');
     QuarantineFile('c:\documents and settings\all users\application data\wyeke\wyeke135.exe','');
     QuarantineFile('c:\program files\wyeke\wyeke.exe','');
     TerminateProcessByName('c:\program files\wyeke\wyeke.exe');
     TerminateProcessByName('c:\documents and settings\all users\application data\wyeke\wyeke135.exe');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke135.exe','');
     QuarantineFile('C:\WINDOWS\system32\userini.exe','');
    QuarantineFile('C:\DOCUME~1\Home\LOCALS~1\Temp\mvbyy.dll','');
    DeleteFile('C:\DOCUME~1\Home\LOCALS~1\Temp\mvbyy.dll');
    DeleteFilemask('C:\DOCUME~1\Home\LOCALS~1\Temp','*.*',true);
     DeleteFile('C:\WINDOWS\system32\userini.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
     DeleteFile('c:\program files\wyeke\wyeke.exe');
     DeleteFile('c:\documents and settings\all users\application data\wyeke\wyeke135.exe');
    DeleteFile('C:\Program Files\Wyeke\wyeke.dll');
    BC_ImportAll;
    Executerepair(6);
    Executerepair(8);
    Executerepair(9);
    ExecuteWizard('SCU', 2, 2, true);
    ExecuteWizard('TSW', 2, 2, true);
    RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    12
    Вес репутации
    52
    shapel, Спасибо за содействие, все сделал как написано, высылаю карантин.

  5. #4

  6. #5
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    12
    Вес репутации
    52
    shapel, Высылаю новые логи.
    Дополнительно: перед выполнением Вашего скритпта комп был выключен, когда загрузился Нод и Оутпост отобразились в трее, оба вроде работают, только почему то при загрузке на секунду выскакивает сообщение, что антивируса нет и пропадает.
    И еще, а что это за прога wyeke.exe?
    Заранее спасибо!

  7. #6
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    12
    Вес репутации
    52
    Логи

  8. #7
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    12
    Вес репутации
    52
    Сейчас ухожу на работу, дсв.

  9. #8

  10. #9
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    12
    Вес репутации
    52
    Забыл сказать!
    Перед предыдущими логами установилось 6 обновлений Windows и IE.
    Обновил АВЗ, высылаю логи.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Сканирование запущено в 31.01.2010 2:52:01 Загружена база: сигнатуры - 261484, нейропрофили - 2, микропрограммы лечения - 56, база от 28.01.2010 19:43
    Этот лог virusinfo_syscure.zip случайно не перепутали? Т.к. virusinfo_syscheck.zip--
    Сканирование запущено в 01.02.2010 1:41:00 Загружена база: сигнатуры - 262199, нейропрофили - 2, микропрограммы лечения - 56, база от 30.01.2010 18:04
    Мне нужен лог virusinfo_syscure.zip--результат последнего выполнения ст. скрипта №3
    И еще, у Вас установлена данная программа--c:\program files\prio\prio_svc.exe, временно отключите ее и понаблюдайте за системой.

  12. #11
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    12
    Вес репутации
    52
    shapel, Prio деинсталировал. virusinfo_syscure.zip при выполнении скрипта почему-то не меняется после первого раза. Перепутать не мог, т. к. новые логи перезаписывают старые.Кроме описанных в правилах у меня появился в АВЗ virusinfo_files_HOME-B9A06835D6.zip. Может чем другим попытаться сделать или попробовать еще разок?

  13. #12
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    12
    Вес репутации
    52
    shapel, прошу прощения, я сам видимо стал зависать, отправляю новые вирусинфо-логи.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Сделайте лог MBAM

    Добавлено через 6 минут

    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Image-Line\Downloader\Update\Updater.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
    Последний раз редактировалось Шапельский Александр; 01.02.2010 в 01:02. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    12
    Вес репутации
    52
    shapel, отправляю МВАМ-лог и карантин.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Удалите в MBAM
    Код:
    Заражено ключей реестра:
    HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken.
    HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.Ecobar) -> No action taken.
    HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.Ecobar) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.
    HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wyeke (Adware.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\Software\Wyeke (Adware.Agent) -> No action taken.
    
    Заражено папок:
    C:\Program Files\Wyeke (Adware.Agent) -> No action taken.
    C:\Program Files\WebMoney Advisor\tbhelper.dll (Adware.Ecobar) -> No action taken.
    C:\Program Files\Wyeke\uninstall.exe (Adware.Agent) -> No action taken.
    К сожалению, карантин пуст. Попробуем еще раз.
    Закройте/выгрузите все программы кроме AVZ .
    Отключите:
    - ПК от интернета/локалки;
    - антивирус и файрвол;
    - выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\Image-Line\Downloader\Update\Updater.exe','');
    QuarantineFile('C:\Downloads\Программы\install_flash_player.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнить:
    - включите антивирус и файрволл;
    - подключите ПК к интернету/локалке;
    - закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).

  17. #16
    Junior Member Репутация
    Регистрация
    25.01.2010
    Сообщений
    12
    Вес репутации
    52
    shapel, здравствуйте. Только приехал с работы, сейчас займусь тем, что Вы написали.

    Добавлено через 1 час 53 минуты

    shapel, отправляю Вам карантин. Сделал все как было написано.

    Добавлено через 8 минут

    shapel, почему-то при загрузке компа на секунду выскакивает надпись, что Нод отключен и просит нажать для исправления. Нажимаешь на табличку - попадаешь в зентр обеспечения безопасности, где написано, что антивирус включен. В трее Нод также отображен, прекрасно обновляется, при необходимости включается сканирование. Больше вроде проблем нет.
    Последний раз редактировалось Operan; 02.02.2010 в 06:43. Причина: Добавлено

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 50
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\wyeke\wyeke.dll - not-a-virus:AdWare.Win32.Zwangi.heur ( BitDefender: Gen:Adware.Heur.Ku4@1WEdE@ii )


  • Уважаемый(ая) Operan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус отключил NOD32 Antivirus 4 и Outpost Firewall Pro
      От Ikal_2 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 17.05.2010, 20:28
    2. Не стартует Outpost, Nod32, вылетает svchost
      От qwerty3000 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 28.02.2010, 15:41
    3. Не запускаются nod32 и outpost
      От cher68 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 06.05.2009, 09:36
    4. Ответов: 1
      Последнее сообщение: 12.06.2008, 23:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01520 seconds with 19 queries