Перейти к содержимому


Фото
- - - - -

Проблема при установке 5.0

Автор Foster , сен 02 2009 09:03

  • Please log in to reply
18 ответов в этой теме

#1 Foster

Foster

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 02 Сентябрь 2009 - 09:03

Здравсвуйте!

Помогите пожалуйста!

Возникла следующая ошибка при установке DrWeb 5.0:

"Ошибка записи в файл: D:\Documets and Settings\All users\Application Data\Doctor Web\Bases\drw50000.vdb"

Работаю под администратором.

Заранее благодарен за помощь!

#2 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 02 Сентябрь 2009 - 09:08

Здравсвуйте!

Помогите пожалуйста!

Возникла следующая ошибка при установке DrWeb 5.0:

"Ошибка записи в файл: D:\Documets and Settings\All users\Application Data\Doctor Web\Bases\drw50000.vdb"

Работаю под администратором.

Заранее благодарен за помощь!

1)Это была первая установка ?Или с первого раза не получилось и вы во второй раз запустили установку?

2)До этого стоял доктор ?


3)Инсталяшку скачали сегодня с сайта или пользуетесь старой с диска?

4)Сделайте лог HJ/RKU http://forum.drweb.com/index.php?showtopic=277652
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#3 Foster

Foster

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 02 Сентябрь 2009 - 10:42

1)Это была первая установка ?Или с первого раза не получилось и вы во второй раз запустили установку?

и в первую и во вторую и последующую

2)До этого стоял доктор ?

Стоял до этого 4.44 версия. Накатывал поверх.

3)Инсталяшку скачали сегодня с сайта или пользуетесь старой с диска?

Инсталляшка от 24 августа

4)Сделайте лог HJ/RKU http://forum.drweb.com/index.php?showtopic=277652

Файл с логом прикрепил

#4 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 02 Сентябрь 2009 - 10:45

1)Это была первая установка ?Или с первого раза не получилось и вы во второй раз запустили установку?

и в первую и во вторую и последующую

2)До этого стоял доктор ?

Стоял до этого 4.44 версия. Накатывал поверх.

3)Инсталяшку скачали сегодня с сайта или пользуетесь старой с диска?

Инсталляшка от 24 августа

4)Сделайте лог HJ/RKU http://forum.drweb.com/index.php?showtopic=277652

Файл с логом прикрепил


1)Удалить веб с помощью ftp://ftp.drweb.com/pub/drweb/tools/drw_remover.exe


2)Почистить темпы с помощью http://www.atribune.org/ccount/click.php?id=1

3)Повторнить установку

P.S.

Логи не вижу  ;)
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#5 Foster

Foster

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 02 Сентябрь 2009 - 12:04

Сорри...Вот лог...

Прикрепленные файлы:


#6 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 02 Сентябрь 2009 - 12:06

Сорри...Вот лог...

Еще бы лог HJ и RKU  ;)

Проверьте на вирустотал http://www.virustotal.com/ru/

D:\WINDOWS\system32\csrcs.exe упакован UPX
D:\WINDOWS\system32\csrsrv.dll 
D:\DOCUME~1\123\LOCALS~1\Temp\RarSFX2\nv3y95.exe
D:\DOCUME~1\123\LOCALS~1\Temp\RarSFX2\m3g5q.exe
D:\WINDOWS\system32\dllcache\msoobe.exe
D:\windows\system32\drivers\aliserv3.sys
d:\windows\system32\drivers\kbiwkmjsqemqxm.sys
d:\windows\system32\rgadta.sys
d:\windows\system32\rgadtm.dll
d:\windows\system32\sens.dll
D:\WINDOWS\system32\alil.dll 
------------------
Это ваши каталоги? Они видны из Проводника?
D:\khr
D:\khu
D:\khv
-----------

Сообщение было изменено mrbelyash: 02 Сентябрь 2009 - 12:32
добавлено

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#7 Foster

Foster

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 02 Сентябрь 2009 - 13:13

Это ваши каталоги? Они видны из Проводника?
D:\khr
D:\khu
D:\khv


Файлы сидят как системные...я их удалил

#8 mk500

mk500

    Newbie

  • Banned
  • 34 Сообщений:

Отправлено 02 Сентябрь 2009 - 13:14

Сорри...Вот лог...

Еще бы лог HJ и RKU  ;)

Проверьте на вирустотал http://www.virustotal.com/ru/

D:\WINDOWS\system32\csrcs.exe упакован UPX
D:\WINDOWS\system32\csrsrv.dll 
D:\DOCUME~1\123\LOCALS~1\Temp\RarSFX2\nv3y95.exe
D:\DOCUME~1\123\LOCALS~1\Temp\RarSFX2\m3g5q.exe
D:\WINDOWS\system32\dllcache\msoobe.exe
D:\windows\system32\drivers\aliserv3.sys
d:\windows\system32\drivers\kbiwkmjsqemqxm.sys
d:\windows\system32\rgadta.sys
d:\windows\system32\rgadtm.dll
d:\windows\system32\sens.dll
D:\WINDOWS\system32\alil.dll 
------------------
Это ваши каталоги? Они видны из Проводника?
D:\khr
D:\khu
D:\khv
-----------


При активном Trojan.Msliksur (прототип BackDoor.Tdss, файлы D:\WINDOWS\system32\alil.dll и D:\windows\system32\drivers\aliserv3.sys) и\или BackDoor.Tdss (d:\windows\system32\drivers\kbiwkmjsqemqxm.sys) установка Dr.Web 5.0 происходит некорректно. Кроме того, если Dr.Web 5.0 уже установлен на компьютере, и в систему проникает недетектируемый вариант BackDoor.Tdss, то наблюдается примерная картина (см. скриншот), несмотря на включённую самозащиту. Самозащиту нельзя отключить, несмотря на правильный ввод каптчи.

Прикрепленный файл  333.PNG   256,6К   92 Скачано раз

Недетектируемый BackDoor.Tdss следует "выносить" RootRepeal-ом (с предварительным копированием файлов для их последующей передачи в вируслаб), после чего Dr.Web 5.0 нормально устанавливается и работает.
[ нецензурная подпись удалена ]

#9 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 02 Сентябрь 2009 - 13:17

D:\khr и аналоги - это от HLLW.Auto(s)hit, aliserv и kbiwkmjsqemqxm.sys - TDSS...

Личный сайт по Энкодерам - http://vmartyanov.ru/

#10 Foster

Foster

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 02 Сентябрь 2009 - 14:01

Ребят, я уже и RootRepeal уже все отсканировал.... вот лог... Чет не помогает... Что делать?



Неужели из-за этого систему переустанавливать?

Прикрепленные файлы:

  • Прикрепленный файл  RR.zip   2,82К   72 Скачано раз

#11 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 02 Сентябрь 2009 - 14:07

Ребят, я уже и RootRepeal уже все отсканировал.... вот лог... Чет не помогает... Что делать?

Неужели из-за этого систему переустанавливать?

Вы бы AVZPM отключили быИ файлики с 6 поста проверили бы на вирустотал и сюда ссылку для каждого файла показали.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#12 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 02 Сентябрь 2009 - 14:11

Ребят, я уже и RootRepeal уже все отсканировал.... вот лог... Чет не помогает... Что делать?

Неужели из-за этого систему переустанавливать?

Вы бы AVZPM отключили быИ файлики с 6 поста проверили бы на вирустотал и сюда ссылку для каждого файла показали.


ali* и kbiwk* - точно наши звери, в вирлаб их надо.

Личный сайт по Энкодерам - http://vmartyanov.ru/

#13 Foster

Foster

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 02 Сентябрь 2009 - 14:45

Сейчас попробую еще раз все попробовать сделать....

А что интересно, на сайт drweb.com зайти не могу с этой машины ;) 

Вот еслиб, человек написавший этот вирус был бы рядом, то я б его точно в вирлаб, а сначала мозги все отбил! зла не хватает....!!!

#14 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 02 Сентябрь 2009 - 14:52

создайте файлы filelist.txt
D:\WINDOWS\system32\drivers\aliserv3.sys
D:\WINDOWS\system32\drivers\kbiwkmjsqemqxm.sys
D:\WINDOWS\system32\kbiwkmqwuboeya.dll
D:\WINDOWS\system32\kbiwkmrmttpryc.dat
D:\WINDOWS\system32\kbiwkmtxjbfrfl.dat
D:\WINDOWS\system32\rgadta.sys
D:\WINDOWS\system32\rgadtm.dll

Затем запустите сканер или КуреИт так, как написано здесь

#15 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 02 Сентябрь 2009 - 14:52

Сейчас попробую еще раз все попробовать сделать....

А что интересно, на сайт drweb.com зайти не могу с этой машины ;) 

Вот еслиб, человек написавший этот вирус был бы рядом, то я б его точно в вирлаб, а сначала мозги все отбил! зла не хватает....!!!


Их многие ищут. Крупнейший ботнет и все такое :-)

Личный сайт по Энкодерам - http://vmartyanov.ru/

#16 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 02 Сентябрь 2009 - 14:53

создайте файлы filelist.txt

D:\WINDOWS\system32\drivers\aliserv3.sys
D:\WINDOWS\system32\drivers\kbiwkmjsqemqxm.sys
D:\WINDOWS\system32\kbiwkmqwuboeya.dll
D:\WINDOWS\system32\kbiwkmrmttpryc.dat
D:\WINDOWS\system32\kbiwkmtxjbfrfl.dat
D:\WINDOWS\system32\rgadta.sys
D:\WINDOWS\system32\rgadtm.dll


А в dat логи его лежат :-)

Личный сайт по Энкодерам - http://vmartyanov.ru/

#17 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 02 Сентябрь 2009 - 14:56

А в dat логи его лежат :-)

Ну тогда можно без *.dat ;)

#18 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 308 Сообщений:

Отправлено 02 Сентябрь 2009 - 14:57

А в dat логи его лежат :-)

Ну тогда можно без *.dat ;)


Как это БЕЗ?! Их же теперь можно расшифровать :-)

Личный сайт по Энкодерам - http://vmartyanov.ru/

#19 YVS

YVS

    Звездочет

  • Helpers
  • 4 798 Сообщений:

Отправлено 02 Сентябрь 2009 - 15:58

Как это БЕЗ?! Их же теперь можно расшифровать :-)

А я-то подумал, что логи типа не нужны ;)
Назад к Помощь по лечению

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·