Удалил КАV 6.0.? - не грузится винда ;/

[deepray]

Собсно, ситуация: на 3 машинах в офисе снёс КАV 6.0.?, удалил klif и klm1 - ребут... При загрузке ввожу пароль - загружаются обои, "Загрузка личных параметров"..... и всё. На этом этапе всё и замирает. Курсор двигается. На клаву не реагирует. К диску через минуту обращения прекращаются. На одной машине смог откатить на вчерашнюю точку; при загрузке выскочило:
DNS Buffer lenght>=1024 (?!!)
Пару раз перезагрузил и всё норм, работает.
На остальных 2-х восстановление отключено. В безопасном под админом зайти могу, только что делать дальше - незнаю (( В сейфмоде sfc /scannow не работает.
Компы в домене. Сейчас сети нет. Другие машины грузятся нормально.
------------------------
хелп!

[Ubivan]

На одном из сайтов читал проблему Outpost 2.0, вроде такие же сообщения выдавал, есть какие-нибудь фаерволы? Попробуй в безопасном выключить фаерволы и брендмауры, еще у меня есть утилитка которая записывает загрузку винды в лог и теоретически можно будет посмотреть на каком этапе ступор происходит. Если надо пиши, выложу.
Так же в безопасном режиме: Пуск-выполнить- msconfig - посмотри что в автозагрузке стоит, попробуй все отключить, можно так же попробовать службы по отключать.
Варианты не все, так что жду результатов.

[Zhlobny Hmur]

deepray, Ищем, какие службы левые страртуют и уграхиваем их. Смотреть естественно, в реестре, т.к. стандартная обвязка не показывает всех.

[Lelick]

Есть вероятность в том, что у тебя и на остальных машинах засел троян, но не вирус. Посмотри в пользовательских папках, нет ли .exe файлов и в папке Temp тоже смотри. В папке Windows\System32\drivers тоже не должно быть .exe файлов. В интернете появился троян, который не распознается до KAV7 и перехватывает управление на себя, задействует при этом services.exe.
После внедрения в систему, пытается перегрузить машину. После перезагрузки машины нет возможности нормально загрузить систему. Лечится загрузкой винды на DVD диске или загрузкой другой независимой системы, но только на твёрдом носителе (DVD, CD)

[Vose]

Цитата: Сообщение от Lelick В интернете появился троян, который не распознается до KAV7 и перехватывает управление на себя

- Зверёк называется буткит, читаем здесь http://www.viruslist.com/ru/analysis?pubid=204007635

[Lelick]

Вот, вот - главное удалить эти .exe и всё будет или дожно быть OK.

[Vose]

Цитата: Сообщение от Lelick Вот, вот - главное удалить эти .exe и всё будет или дожно быть OK.

Нифига не будет ОК. Почитайте по ссылке про "зверька". Надо ещё загрузочный сектор диска исправлять (редактором диска, например).

[Lelick]

Будет OK, если - цитирую:

"Если на момент заражения компьютер пользователя не был защищен достаточно мощной антивирусной программой, буткит проникает в систему. Буткит начинает работать до запуска операционной системы и антивируса, что позволяет ему контролировать важные системные функции и скрывать свое присутствие в системе.
Антивирусная программа, в которую входит достаточно мощный антируткит, позволяет обнаружить и обезвредить вредоносный код – сначала в памяти системы…
Детектирование руткита в памяти зараженного компьютера
…а затем и в загрузочном секторе диска.
В результате система полностью излечивается от буткита"

Надо внимательно читать статью до конца и тогда не нужен будет редактор разделов

Привожу айпишники хозяев трояна:

69.147.239.106
94.103.4.217
94.103.4.230
174.36.201.82
208.43.154.226

Они относится к моему случаю - за час или полтора, я избавился от трояна и его последствий.

Домены:
htt.://arclane.com/?aid=549&q=***
htt.://artkitty.com/?aid=549&q=***
htt.://bignotebook.com/?aid=549&q=***
htt.://digbone.com/?aid=549&q=***
htt.://freeshovel.com/?aid=549&q=***
htt.://hotsearchpro.com/?aid=549&q=***
htt.://searchspice.com/?aid=549&q=***
htt.://yesbear.com/?aid=549&q=***

[Анат]

deepray, Похоже на некорректное удаление Касперского. Попробуй в безопасном режиме установить Касперского заново. Если всё восстановится, Касперского можно удалить заново любой программой для удаления.

А то народ уже куда-то пошёл. Вирусы, трояны везде мерещатся.

[Lelick]

Что там кому мерешится, то это известно самому источнику исходного сообщения. То, что приведено после сообщения источника, полезно знать всем остальным, т.к. ситуации бывают разные. Если источник снёс Каспера, то значит он не думал оставлять комп без защиты, но не расчитывал на такой исход. О не корректном удалении он не сообщал.

[deepray]

первое - Всех с 2009 г!!! - (раньше немог поздравить, сорь)
Второе - господа, всё проще оказалось: наш бывший админ много чего, оказывается, на компы ставил, но удалял как-то странно ;// Кругом ошмётки и остатки... помойка, короче.. А вот Каспер, похоже, единственное приложение, удалённое корректно ))
В "Службах" висели запущенные службы аваста. Как только я их отрубил от автозапуска - всё заработало. Что-то там мешало, видать...
-----------------
Всем спасибо за участие!!