Проблема с установкой КАВ8

[Aleksey]

Сообщение от модератора thyrex

Сообщение выделено из темы http://forum.kasperskyclub.ru/index.php?showtopic=12615

 

Здраствуйте, у меня тоже возникла проблема с установкой КАВ8, выкидывает синий экран с непонятным текстом а в конце упоминается Klif.sys

Чё делать? Подскажите... Комп уже заражён. Сканировал Kaspersky Lab Tool он видит почти вкаждом exe Type_Win32, он не лечится что-ли?

Прилогаю логи...

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

GetSystemInfo_D7E94CBA1C9E45C_Администратор_2009_12_07_21_50_57.zip

[thyrex]

1. Следы DrWeb и Symantec.

2. Массовое заражение

 

Пофиксите в HiJack

 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\TEMP\init.exe
O4 - HKLM\..\Run: [17503] C:\WINDOWS\system32\16.tmp.exe
O4 - HKLM\..\Run: [av_md] C:\WINDOWS\system32\av_md.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Run: [shccde] C:\WINDOWS\system32\winssled.exe
O4 - HKCU\..\Run: [qaswww] C:\WINDOWS\system32\jdsuml.exe
O4 - HKCU\..\Run: [av_md] C:\Documents and Settings\Администратор\av_md.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKUS\S-1-5-18\..\Run: [av_md] C:\Documents and Settings\Администратор\av_md.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [av_md] C:\Documents and Settings\Администратор\av_md.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'Default user')
O4 - Global Startup: AutorunsDisabled
O20 - Winlogon Notify: iifgDtrS - iifgDtrS.dll (file missing)
O20 - Winlogon Notify: winrzf32 - winrzf32.dll (file missing)

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
QuarantineFile('C:\WINDOWS\TEMP\init.exe','');
DeleteFile('C:\WINDOWS\TEMP\init.exe');
QuarantineFile('iifgDtrS.dll','');
DeleteFile('iifgDtrS.dll');
QuarantineFile('C:\WINDOWS\system32\jdsuml.exe','');
DeleteFile('C:\WINDOWS\system32\jdsuml.exe');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
DeleteFile('C:\WINDOWS\system32\userini.exe');
QuarantineFile('C:\WINDOWS\system32\16.tmp.exe','');
DeleteFile('C:\WINDOWS\system32\16.tmp.exe');
QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('J:\SPOOLSV.EXE','');
QuarantineFile('J:\autorun.inf','');
QuarantineFile('winrzf32.dll','');
QuarantineFile('C:\WINDOWS\system32\winssled.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\ljJCspon','');
QuarantineFile('C:\WINDOWS\system32\D.tmp','');
QuarantineFile('C:\WINDOWS\explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-7093774980-6964204422-592423621-4649\yv8g67.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\av_md.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ekjjkm.sys','');
DeleteService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\advapi32d.exe','');
DeleteService('NtmsSvcmnmsrvc');
DeleteFile('C:\WINDOWS\system32\advapi32d.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ekjjkm.sys');
DeleteFile('C:\Documents and Settings\Администратор\av_md.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','av_md');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','av_md');
DeleteFile('C:\RECYCLER\S-1-5-21-7093774980-6964204422-592423621-4649\yv8g67.exe');
DeleteFile('C:\WINDOWS\system32\D.tmp');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','26263');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_md');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
DeleteFile('winrzf32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winrzf32','DLLName');
DeleteFile('J:\autorun.inf');
DeleteFile('J:\SPOOLSV.EXE');
DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

[Aleksey]

Спасибо, пофиксить пока не удалось. Вирь запохабил вход в Виндовс, даже в безопасном режиме немог войти.

Сделал следующее: Достал старый винт, установил на него ОСь, скачал Tool removal 2010, Просканировал на три раза и вычистил все нужные винты. Итог: Вход работает, Касперский установился, но не работает нужным образом. Установил КИС.

virusinfo_syscheck.zip

hijackthis.log

[snifer67]

Выполните скрипт в avz

begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('unpr');
DeleteService('unpr');
QuarantineFile('C:\WINDOWS\system32\explorer.exe','');
QuarantineFile('C:\WINDOWS\system32\ljJCspon','');
QuarantineFile('C:\WINDOWS\system32\drivers\unpr.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\unpr.sys');
DeleteFile('C:\WINDOWS\system32\ljJCspon');
DeleteFile('C:\WINDOWS\system32\explorer.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Пролечитесь http://virusinfo.info/showthread.php?t=15927

 

Сделайте новые логи.

[Aleksey]

Скрипт выполнен успешно. Но касперский неработает. Архив quarantine.zip пустой 22кб.

hijackthis.log

virusinfo_syscheck.zip

[thyrex]

h:\server\soft\Утилиты антивирусные\avz4\avz.exe проверьте на virustotal Ссылку на результат проверки сообщите

[Aleksey]

http://www.virustotal.com/ru/analisis/e3d6...d2c8-1260555444

[thyrex]

Сделайте отчет GSI (ссылка в подписи)

[Aleksey]

Сделайте отчет GSI (ссылка в подписи)

Блин, неделает, процесс GSI стоит на месте, 27 мин ждал, выключил. До чистки вирусов утилка работала, только вот при анализе после загрузки архива на сайт вылетал синий экран, а теперь отказывается изночально. Скачал заново, всё так-же.

[thyrex]

Зачистите все следы продуктов Symantec и DrWeb http://forum.kaspersky.com/index.php?showt...t&p=1054993

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('winrzf32.dll','');
DeleteFile('winrzf32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winrzf32','DLLName');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

[Aleksey]

Скрипт выполнил, карантин пустой, поиск не нашол файл winrzf32. Следы продуктов Symantec и DrWeb удалил. Мне кажется проблема с самим драйвером, в окне Приветствия при загрузке системы, вверху должна быть надпись Protected by Kaspersky... вроде.

Думаю нужно деинсталировать КИС и так-же использовать утилиту Removal Tool для удаления всех следов от касперского, после воспользоватся восстановлением копии виндовс, запустив дистрибутив, может так исправится некоторая бажность Реестра после заражения и после лечения. Итогда попробывать заново установить КИС2009. Авось всё заработает.

[thyrex]

Удалите Kapersky Virus Removal Tool, удалите антивирус, зачистите следы антивируса с помощью KAV Remover10.

Пробуйте установить антивирус заново

 

Да и логи не забудьте предоставить новые

[Aleksey]

Заработало!

Докладываю: обратил внемание на сообщение КИС всплывающие сразу после загрузки системы.

 

где нажал на ссылку Запустить восстановление приложения, и получил вот это

 

Ну я смекнул, что проблема скорее в системном инсталляторе. Скачал Windows Installer 4.5, установил его, после перезагрузки переустановил КИС.

 

Теперь я подобрел... Но радость пока неполная.

После чистки вирусов осталось много проблем с системой, это ошибка постоянно выскакивает

 

оформление ХР исчезает то появляется, шрифты сливаются, со звуком непонятка, плееры плюются типа звуковых устройств нет, хотя звуки есть, значок интернет соединения в трее не отображается и т.д. Чё делать, незнаю?

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Установите SP3 (может потребоваться активация) + все новые заплатки.

 

Как правило, помогает