|
Вирус выводящий из строя защиту
Симптомы:
1) Выводит из строя антивирусы (Northon Internet Security. Dr Web. Kis) Т.е перестают работать отдельные модули. CureIt не может проверить (вылетает) папку Windowns\Temp 2) Блокирует доступ на запись к системным папкам. Говорит, что я не обладаю сответствующими правами. 3) Вывел из строя оболочку Explorer т.е она запускается и вырубается и так по кругу. 4) Вывел из строя Maxthon 2 и IE 6.  5) В папке Windowns\Temp создал кучу папок с именами типа █v9= o".°═░ с датами из будующего. Папку и содержимое не удалаются. Это логи: http://forum.kaspersky.com/index.php...=post&id=91974 http://forum.kaspersky.com/index.php...=post&id=91975 http://forum.kaspersky.com/index.php...=post&id=91975 |
ИС_, Здравствуйте. Логи вложите в сообщение, согласно правилам
|
Вложений: 2
Готово. Explorer похоже выводит какая-то служба т.к при сохраниие измений в MsConfig сообщает о том, что нет прав для запуска (или выключения какой-то службы).
|
ИС_, Деинсталлируйте bitaccelerator, а также SiSoftware Sandra, AMD64 CPU Assistant, включите все то, что отключили через MSConfig
G:\Doomsday\HoI2.exe - в планировщие задач нужен? Удалите остатки symantec и временно удалите касперского, воспользутейс утилитами Norton Removal Tool KAVremover9.zip см. доп. Чистка системы после некорректного удаления антивируса Инструкции и утилиты для полного удаления остатков антивирусных ... Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить». Код:
beginКод:
R3 - URLSearchHook: (no name) - - (no file)Цитата:
Описание SDFix есть здесь и здесь Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть). Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска. После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes. Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском) Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis |
Пока сходил на visrutotal.com.
Про H:\Program Files\Java-emulator\JadInvoker\MidpInvoker.dll говорит: Код:
MD5: 09554c4819eeec0e55a1c325701bfe32 |
Ext2FS.SYS знаю, что д.б. легитимный, просто по логам он увас был без цифровой подписи. На MidpInvoker.dll какой антивирус ругается?
|
Ругается H:\Program Files\Java-emulator\JadInvoker\MidpInvoker.dll eSafe - - Suspicious File
Остальные пункты выполнить не могу т.к в винде постоянно перезапускается explorer.exe. Что делать? Есть ли альтернативная оболчка? |
ИС_, попробуй почистить HDD с помощью Dr.Web LiveCD !
Dr.Web LiveCD - работает с диска, и проверяет на вирусы HDD без загрузки винды! http://www.freedrweb.com/livecd/ |
ИС_, приведенный в посте 4 скрипт не должен был вызвать проблем с explorer. Может какие-нибудь другие скрипты выполняли с сайта ЛК? (поэтому не рекомендуется лечиться сразу в нескольких местах). Какие пункты удалось выполнить, кроме проверки файлов на VT? Загружается ли безопасный режим? В безопасном режиме появляется так же проблема с explorer?
Цитата:
Можете попробовать распаковать cureit, загрузиться с CD и запустить _start.exe из распакованного cureit (желательно запускать с CD или флешки) или использовать Dr.Web LiveCD, но в нем базы обновляются реже. Ещё можете установить ОС поверх. Как выполнить обновление (переустановку) Microsoft Windows XP Способ 2. Восстановление Windows XP при загрузке компьютера с компакт-диска Windows XP |
Цитата:
Сейчас нахожу в другой ОС. В ней уже нельзя создовать файлы (ничего не происходит) и папки (говорит, что не найден указанный путь) на рабочем столе. Т.е в лучшем случае надо сносить полностью 2 винды с форматированием или ходя бы заблокировать диск с инфицированной виндой. И еще, меня о чень интересует пункт 5) В папке Windowns\Temp создал кучу папок с именами типа █v9= o".°═░ с датами из будующего. Папку и содержимое не удалаются. Чем удалить? |
ИС_, из зловредов у вас по логам был только один D:\WINDOWS\System32\drivers\tcpsr.sys, но он такие разрушения не делает, возможно проблема в самом винте (железе)
chkdsk /f /r пробовали делать? Почитайте ещё [решено] восстановление MBR ? - Microsoft Windows 2000/XP Цитата:
Gmer В них есть свои "проводники" и ещё Unlocker Воспользуйтесь поиском по форуму. [решено] Как получить доступ к файлу или папке [решено] Не удается удалить [название папки]. Папка не пуста. [решено] Не могу удалить папки!!!!! [решено] Помогите удалить папку [решено] Не удаляются временные файлы из папок temp |
ИС_, А не пробЫвали "rd %windir%temp /s /q" в командной строке? Если не поможет, может это сбой на диске и надо просто его проверить на ошибки? :sorry:
Pili как всегда на высоте, опередил пока писал сообщение. |
Цитата:
|
ИС_, ну если восстановление MBR и вышепредложенные утилиты не помогают, попробуйте скопировать информацию на другой винт (если не получится, попробуйте восстановить с помощью Rstudio или др. програмой восстановления) и fixboot, fixmbr, если не поможет, удаляйте разделы и форматируйте диск, если и это не поможет, несите винт в сервисный центр или меняйте его.
|
ИС_, а другие шаги от уважаемого Pili, что не пробЫвали, в часноcти Gmer?!
|
reseacher, Сделал для диска D:
Код:
D:\WINDOWS\temp\╦%│кЯ║мw.Г▄z - Не удается найти указанный файл.Сопровождалось это все писком динамика :) Gmer заблокирована возможность удаления файлов, а в IceSword ForceDelete не помогает т.к эти папки остаются на своих местах. |
Цитата:
|
Цитата:
http://s40.radikal.ru/i088/0902/94/1dba71424c7f.jpg |
Цитата:
и пост 14 |
ИС_, :o Нужно воспользоваться диском установки Windows и через Recovery Concole восстановить удаленное.Удачи :)
|
| Время: 18:59. |
Время: 18:59.
© OSzone.net 2001-