39 ответов в этой теме

[CrUsH]

По логам ничего криминального не нашел, за исключением ошметков защитного расширения McAfee и драйвера Касперского.

Можно их как то пофиксить? Вдруг касперский установится. В лайве находит вирусы и как то напряжно их лечит, буд-то вообще не лечит

[RomaNNN]

Почистить:

 

<File Name="c:\windows\system32\drivers\cceafd50.sys" Size="457824" CreationTime="09.06.2015 12:30:14" LastAccessTime="09.06.2015 12:30:14" LastWriteTime="09.06.2015 12:30:14">
<Signature Valid="True" Publisher="Kaspersky Lab" Filename="c:\windows\system32\drivers\cceafd50.sys" SignatureSource="c:\windows\system32\drivers\cceafd50.sys" />
</File>

<File Name="C:\Windows\system32\drivers\47727743.sys" Size="52320" CreationTime="09.06.2015 11:19:05" LastAccessTime="09.06.2015 11:19:05" LastWriteTime="09.06.2015 11:19:05">
<Signature Valid="True" Publisher="Kaspersky Lab" Filename="C:\Windows\system32\drivers\47727743.sys" SignatureSource="C:\Windows\system32\drivers\47727743.sys" />
</File>

 

<File Name="C:\Windows\TEMP\contentDATs.exe" Size="1542696" CreationTime="24.06.2013 09:59:48" LastAccessTime="29.03.2015 09:34:37" LastWriteTime="29.03.2015 09:34:49">

 <Signature Valid="True" Publisher="McAfee, Inc." Filename="C:\Windows\TEMP\contentDATs.exe" SignatureSource="C:\Windows\TEMP\contentDATs.exe" />

</File>

 

<File Name="C:\Windows\TEMP\SecurityScan_Release.exe" Size="8460504" CreationTime="24.06.2013 09:56:12" LastAccessTime="29.03.2015 09:29:51" LastWriteTime="29.03.2015 09:30:20">

<Signature Valid="True" Publisher="McAfee, Inc." Filename="C:\Windows\TEMP\SecurityScan_Release.exe" SignatureSource="C:\Windows\TEMP\SecurityScan_Release.exe" />

</File>

 

Но вряд ли это они мешают установке. Что-то лочит Temp, судя по логу инсталятора:

[4608] [INFO] 18:07:55 - {STARTER}: Waiting for unpack completion (waiting for unpack_complete_evt)...
[4608] [WARNING] 18:07:55 - {STARTER}: CreateDirectory(c:\users\challenger\appdata\local\temp\4F5E99BB-3BBE0DE1-6872575A-4F7EE9A7\) failed.
[4608] [WARNING] 18:07:55 - {STARTER}: error 5: Отказано в доступе.


[4608] [ERROR] 18:07:55 - {STARTER}: create_workdir() failed!
[4608] [INFO] 18:07:55 - {STARTER}: unpack_files_proc() completed
[4608] [INFO] 18:07:55 - {STARTER}: start() completed.
[4608] [INFO] 18:07:55 - {UTILS}: IsServiceExist(DwProt) started.
[4608] [INFO] 18:07:55 - {UTILS}: Service not exist.
[4608] [INFO] 18:07:55 - {UTILS}: IsServiceExist(DwProt) completed.
[4608] [INFO] 18:07:55 - {STARTER}: DwProt service not exist.
[4608] [INFO] 18:07:55 - {UTILS}: Utils::RemoveDirectory(c:\users\challenger\appdata\local\temp\4F5E99BB-3BBE0DE1-6872575A-4F7EE9A7) started.
[4608] [INFO] 18:07:55 - {UTILS}: Utils::RemoveDirectory(c:\users\challenger\appdata\local\temp\4F5E99BB-3BBE0DE1-6872575A-4F7EE9A7) completed.
[4608] [WARNING] 18:07:55 - {STARTER}: Remove workdir failed.
[4608] [WARNING] 18:07:55 - {STARTER}: error 5: Отказано в доступе.

 

[RomaNNN]

В лайве находит вирусы и как то напряжно их лечит, буд-то вообще не лечит

Названия вирусов какие? И где?

[CrUsH]

 

Почистить:

 

<File Name="c:\windows\system32\drivers\cceafd50.sys" Size="457824" CreationTime="09.06.2015 12:30:14" LastAccessTime="09.06.2015 12:30:14" LastWriteTime="09.06.2015 12:30:14">
<Signature Valid="True" Publisher="Kaspersky Lab" Filename="c:\windows\system32\drivers\cceafd50.sys" SignatureSource="c:\windows\system32\drivers\cceafd50.sys" />
</File>

<File Name="C:\Windows\system32\drivers\47727743.sys" Size="52320" CreationTime="09.06.2015 11:19:05" LastAccessTime="09.06.2015 11:19:05" LastWriteTime="09.06.2015 11:19:05">
<Signature Valid="True" Publisher="Kaspersky Lab" Filename="C:\Windows\system32\drivers\47727743.sys" SignatureSource="C:\Windows\system32\drivers\47727743.sys" />
</File>

 

<File Name="C:\Windows\TEMP\contentDATs.exe" Size="1542696" CreationTime="24.06.2013 09:59:48" LastAccessTime="29.03.2015 09:34:37" LastWriteTime="29.03.2015 09:34:49">

 <Signature Valid="True" Publisher="McAfee, Inc." Filename="C:\Windows\TEMP\contentDATs.exe" SignatureSource="C:\Windows\TEMP\contentDATs.exe" />

</File>

 

<File Name="C:\Windows\TEMP\SecurityScan_Release.exe" Size="8460504" CreationTime="24.06.2013 09:56:12" LastAccessTime="29.03.2015 09:29:51" LastWriteTime="29.03.2015 09:30:20">

<Signature Valid="True" Publisher="McAfee, Inc." Filename="C:\Windows\TEMP\SecurityScan_Release.exe" SignatureSource="C:\Windows\TEMP\SecurityScan_Release.exe" />

</File>

 

Но вряд ли это они мешают установке. Что-то лочит Temp, судя по логу инсталятора:

[4608] [INFO] 18:07:55 - {STARTER}: Waiting for unpack completion (waiting for unpack_complete_evt)...
[4608] [WARNING] 18:07:55 - {STARTER}: CreateDirectory(c:\users\challenger\appdata\local\temp\4F5E99BB-3BBE0DE1-6872575A-4F7EE9A7\) failed.
[4608] [WARNING] 18:07:55 - {STARTER}: error 5: Отказано в доступе.


[4608] [ERROR] 18:07:55 - {STARTER}: create_workdir() failed!
[4608] [INFO] 18:07:55 - {STARTER}: unpack_files_proc() completed
[4608] [INFO] 18:07:55 - {STARTER}: start() completed.
[4608] [INFO] 18:07:55 - {UTILS}: IsServiceExist(DwProt) started.
[4608] [INFO] 18:07:55 - {UTILS}: Service not exist.
[4608] [INFO] 18:07:55 - {UTILS}: IsServiceExist(DwProt) completed.
[4608] [INFO] 18:07:55 - {STARTER}: DwProt service not exist.
[4608] [INFO] 18:07:55 - {UTILS}: Utils::RemoveDirectory(c:\users\challenger\appdata\local\temp\4F5E99BB-3BBE0DE1-6872575A-4F7EE9A7) started.
[4608] [INFO] 18:07:55 - {UTILS}: Utils::RemoveDirectory(c:\users\challenger\appdata\local\temp\4F5E99BB-3BBE0DE1-6872575A-4F7EE9A7) completed.
[4608] [WARNING] 18:07:55 - {STARTER}: Remove workdir failed.
[4608] [WARNING] 18:07:55 - {STARTER}: error 5: Отказано в доступе.

 

С темпами я разобрался. Я через установку прав на папки поудалял все что там было

[CrUsH]

В общем вылечил только то, что успел остановить. Выходит с четырехзначной ошибкой запуска. В документах, рекламные, троян и еще какие то скриптовые, так же на рабочем столе в папке.

Рекламные конечно же ADWARE и еще какие-то ACAD были - это то что было массово

Сообщение было изменено CrUsH: 09 Июнь 2015 - 22:25

[RomaNNN]

В общем вылечил только то, что успел остановить. Выходит с четырехзначной ошибкой запуска. В документах, рекламные, троян и еще какие то скриптовые, так же на рабочем столе в папке

 

хм, хотелось точных названий.

 

После такого лечения CureIt запускается?

[CrUsH]

 

В общем вылечил только то, что успел остановить. Выходит с четырехзначной ошибкой запуска. В документах, рекламные, троян и еще какие то скриптовые, так же на рабочем столе в папке

 

хм, хотелось точных названий.

 

После такого лечения CureIt запускается?

 

Нет. Точных названий не вспомню, нашло новые трояны в recycle Trojan.Yontoo.1851 3 штуки. Вылетает при проверке каких то файлов. произошла ошибка при запуске программы 1726. При чем самое классное, у меня на ноуте при запуске утилиты cureit зависает с концами и приходится перезапускать кнопкой.

Сообщение было изменено CrUsH: 09 Июнь 2015 - 22:50

[mike 1]

Пофиксите в HiJackThis:

O2 - BHO: LemurLeap - {415419c3-dad0-4df1-ac37-22c72ad81878} - (no file)
O4 - HKCU\..\Run: [eTranslator Automatic Update] "C:\Users\Challenger\AppData\Roaming\eTranslator\eTranslator.exe" -checkforupdates

Хотелось бы увидеть другие логи, но я не знаю как здесь к этому отнесутся. 

[CrUsH]

Вот, такую интересную штуку на ноуте нашел, под касперским, только в безопасном режиме утилита заработала... Кстати, после лечения в обычном режиме запустилась.

 Снимок экрана (1).png   42,35К   0 Скачано раз

Уже столько вирусов на компе убил с горем пополам, а все равно всё по прежнему... ничего не запускается...

Какие логи?

Сообщение было изменено CrUsH: 09 Июнь 2015 - 23:52

[RomaNNN]

Судя по всему тут одно из двух: либо что-то глубоко прячется, либо проблемы с правами. Пока склоняюсь к второму.

 

Попробуйте следующее:

0) Если Вы еще не удалили драйвера Касперского, то сделайте это.

1) Удалите каталог "c:\users\challenger\appdata\local\temp". Именно удалите, а не очистите. Если не даст, тогда через LiveDisk можно это сделать, ему чихать на права

2) Создайте вручную каталог "Temp" в "c:\users\challenger\appdata\local\". 

3) Верните обратно переменные окружения, выполнив команду в командной строке: "set tmp=%USERPROFILE%\AppData\Local\Temp & set temp=%USERPROFILE%\AppData\Local\Temp" (без кавычек)

4) Скачайте с сайта свежий дистрибутив антивируса - http://download.geo.drweb.com/pub/drweb/windows/workstation/10.0/drweb-1000-win-space.exe и попробуйте установить. В процессе установке можно активировать демо.

 

Если не получится, то новый комплект логов HJ & SysInfo, далее посмотрим.

Сообщение было изменено RomaNNN: 10 Июнь 2015 - 00:38

[mike 1]

 

 

Какие логи?

Я бы хотел увидеть логи Farbar Recovery Scan Tool. 

[CrUsH]

Судя по всему тут одно из двух: либо что-то глубоко прячется, либо проблемы с правами. Пока склоняюсь к второму.

 

Попробуйте следующее:

0) Если Вы еще не удалили драйвера Касперского, то сделайте это.

1) Удалите каталог "c:\users\challenger\appdata\local\temp". Именно удалите, а не очистите. Если не даст, тогда через LiveDisk можно это сделать, ему чихать на права

2) Создайте вручную каталог "Temp" в "c:\users\challenger\appdata\local\". 

3) Верните обратно переменные окружения, выполнив команду в командной строке: "set tmp=%USERPROFILE%\AppData\Local\Temp & set temp=%USERPROFILE%\AppData\Local\Temp" (без кавычек)

4) Скачайте с сайта свежий дистрибутив антивируса - http://download.geo.drweb.com/pub/drweb/windows/workstation/10.0/drweb-1000-win-space.exe и попробуйте установить. В процессе установке можно активировать демо.

 

Если не получится, то новый комплект логов HJ & SysInfo, далее посмотрим.

По поводу прав вы правы. Я лазил по компу и с некоторой частью папок проблема с доступом.

[CrUsH]

Пробовать буду уже днем. Щас поставил на полную проверку с диска. А так уже всего удалено больше 200 утилитой с диска + 40 kvrt + 2 руткита от tdsskiller

[RomaNNN]

Ах да, ну и перед выполнением той инструкции, что я дал, можно пройтись чекдиском: В коммандной строке от админа ввести "chkdsk c: /f" (без кавычек). Если скажет что системный диск невозможно проверить без перезагрузки, соглашайтесь и ребутайтесь.

[Konstantin Yudin]

логи tdss killer можно увидеть? они все в корне диска

[CrUsH]

Ах да, ну и перед выполнением той инструкции, что я дал, можно пройтись чекдиском: В коммандной строке от админа ввести "chkdsk c: /f" (без кавычек). Если скажет что системный диск невозможно проверить без перезагрузки, соглашайтесь и ребутайтесь.

Не знаю по поводу чека, но sfc /scannow не работал. Писало, что невозможно запустить службу

логи tdss killer можно увидеть? они все в корне диска

Я их, мягко говоря, стёр)

[CrUsH]

Кстати, не по теме но всё же, что так доктор стал ругаться на ауслогикс. почти все найденные вирусы с него  Снимок экрана (2).png   144,36К   0 Скачано раз

[CrUsH]

 

Судя по всему тут одно из двух: либо что-то глубоко прячется, либо проблемы с правами. Пока склоняюсь к второму.

 

Попробуйте следующее:

0) Если Вы еще не удалили драйвера Касперского, то сделайте это.

1) Удалите каталог "c:\users\challenger\appdata\local\temp". Именно удалите, а не очистите. Если не даст, тогда через LiveDisk можно это сделать, ему чихать на права

2) Создайте вручную каталог "Temp" в "c:\users\challenger\appdata\local\". 

3) Верните обратно переменные окружения, выполнив команду в командной строке: "set tmp=%USERPROFILE%\AppData\Local\Temp & set temp=%USERPROFILE%\AppData\Local\Temp" (без кавычек)

4) Скачайте с сайта свежий дистрибутив антивируса - http://download.geo.drweb.com/pub/drweb/windows/workstation/10.0/drweb-1000-win-space.exe и попробуйте установить. В процессе установке можно активировать демо.

 

Если не получится, то новый комплект логов HJ & SysInfo, далее посмотрим.

По поводу прав вы правы. Я лазил по компу и с некоторой частью папок проблема с доступом.

 

Большое спасибо! После пересоздания папки и выполнения кода заработала установка антивируса. Запустилась утилита, запустилось средство удаления остатков аваста. Наконец то!) Теперь хоть можно нормально комп проверить)

[CrUsH]

Можно закрыть тему

[Konstantin Yudin]

>Я их, мягко говоря, стёр)

жаль. придется на общих основаниях подпилить распаковку. будет пытаться во все дыры распаковываться теперь.