Не запускается Касперский. Комбофикс и ОТС не помогают.

[Troshkin]

Здравствуйте!)

 

Не запускается Касперский. Версия 9.0.0.736. Переустановка не помогает. Вручную тоже не запускается.

 

Выкладываю логи AVZ.

 

Что можно сделать?

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67]

Закройте/выгрузите все программы кроме Internet Explorer.

Отключите:

ПК от интернета/локальной сети.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\acpi24.ocx','');
QuarantineFile('C:\WINDOWS\system32\ATQG38EE1T\F001.exe','');
QuarantineFile('C:\WINDOWS\system32\ATQG38EE1T\eoo1.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\SYMROA~1.EXE','');
QuarantineFile('c:\windows\system32\f00287484k.cmd','');
QuarantineFile('C:\WINDOWS\system32\acpi24.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('C:\Progra~1\SMSClean\srvany.exe','');
QuarantineFile('C:\WINDOWS\system32\zqhpqg.exe','');
QuarantineFile('C:\WINDOWS\system32\acpi24.dll','');
QuarantineFile('c:\windows\system32\anitsvstart.dll','');
QuarantineFile('c:\windows\system32\sqlserv.exe','');
QuarantineFile('c:\windows\system32\sqldebug.exe','');
QuarantineFile('c:\windows\system32\atqg38ee1t\j002.exe','');
TerminateProcessByName('c:\windows\system32\atqg38ee1t\j002.exe');
QuarantineFile('c:\windows\system32\atqg38ee1t\f001.exe','');
TerminateProcessByName('c:\windows\system32\atqg38ee1t\f001.exe');
QuarantineFile('c:\windows\system32\atqg38ee1t\eoo1.exe','');
TerminateProcessByName('c:\windows\system32\atqg38ee1t\eoo1.exe');
QuarantineFile('c:\windows\system32\34hvry26hi\b7878.exe','');
TerminateProcessByName('c:\windows\system32\34hvry26hi\b7878.exe');
DeleteFile('c:\windows\system32\34hvry26hi\b7878.exe');
DeleteFile('c:\windows\system32\atqg38ee1t\eoo1.exe');
DeleteFile('c:\windows\system32\atqg38ee1t\f001.exe');
DeleteFile('c:\windows\system32\atqg38ee1t\j002.exe');
DeleteFile('c:\windows\system32\anitsvstart.dll');
DeleteFile('C:\WINDOWS\system32\acpi24.dll');
DeleteFile('C:\WINDOWS\system32\zqhpqg.exe');
DeleteFile('C:\WINDOWS\system32\acpi24.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AniSrv\Parameters','ServiceDll');
DeleteFile('c:\windows\system32\f00287484k.cmd');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\F00287484K\Parameters','ServiceDll');
DeleteFile('C:\WINDOWS\system32\ATQG38EE1T\eoo1.exe');
DeleteFile('C:\WINDOWS\system32\ATQG38EE1T\F001.exe');
DeleteFile('C:\WINDOWS\system32\acpi24.ocx');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('acpi24Drv');
BC_DeleteSvc('frrd');
BC_DeleteSvc('vsd');
BC_DeleteSvc('vsfd');
BC_DeleteSvc('vsr');
BC_DeleteSvc('Nationalqnp');
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи.

 

Замените файл C:\WINDOWS\system32\Drivers\Beep.sys , как описано здесь http://virusinfo.info/showthread.php?t=51654

[thyrex]

Дополнительно к совету snifer67

 

После выполнения скрипта и замены файла, сделайте лог ComboFix и прикрепите его к сообщению

[Troshkin]

А как заменить системный файл, если это нетбук (нет привода СД ДВД), и нет дистрибутива естественно?

[vit9696]

Какой SP?

Какой у вас Сервис пак?

============

У кого ХР этот файл сюда с пометкой сервис пака

Изменено 17 апреля, 2010 пользователем vit9696

[Troshkin]

Windows XP SP2

[vit9696]

Вот для SP3 жди пока. Можешь поставить пока его. И установи SP3!

beep.rar

Изменено 17 апреля, 2010 пользователем vit9696

[Bl@ckMC]

И установи SP3!

Ссылочка

[Troshkin]

Скрипты не делал, т.к. пока не ответили, убил вирусы с помощью АВЗ, затем запустился Касперский, провел полную проверку, понаходил вирусы, почистил, все ок.

Вирусы: Backdoor и пару Троянчиков.

 

Всем спасибо.

[vit9696]

Скрипты не делал, т.к. пока не ответили, убил вирусы с помощью АВЗ, затем запустился Касперский, провел полную проверку, понаходил вирусы, почистил, все ок.

Вирусы: Backdoor и пару Троянчиков.

 

Всем спасибо.

Куда? Логи заново сделать, вдруг что осталось, и СП3 установи!

[Troshkin]

Вообщем, сделал я скрипты, которые указали выше, отправил файл. Пришел ответ:

 

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

 

anitsvstart.dll,

bcqr00001.ini,

bcqr00002.ini,

bcqr00003.ini,

bcqr00004.ini,

bcqr00005.ini,

bcqr00006.ini,

bcqr00007.ini,

bcqr00008.ini,

bcqr00009.ini,

bcqr00010.ini,

bcqr00011.ini,

bcqr00012.ini,

bcqr00013.ini,

bcqr00014.ini,

bcqr00015.ini,

bcqr00016.ini,

bcqr00017.ini,

bcqr00018.ini,

bcqr00019.ini,

bcqr00020.ini,

bcqr00021.ini,

bcqr00022.ini,

bcqr00023.ini,

bcqr00024.ini,

bcqr00025.ini,

bcqr00026.ini,

bcqr00027.ini,

bcqr00028.ini,

bcqr00029.ini,

bcqr00030.ini,

bcqr00031.ini,

bcqr00032.ini,

bcqr00033.ini,

bcqr00034.ini,

f00287484k.cmd,

sqldebug.exe,

sqlserv.exe

 

These files are in process.

 

srvany.exe,

SYMROA~1.EXE,

symroamsvr.EXE

 

No malicious code were found in these files.

 

Best Regards, Kaspersky Lab

 

+ прикрепляю логи AVZ, сделанные после всего.

 

Все работает. единственное, когда начинаешь поиск файлов, выдает такую ошибку: "Помощник по поиску. Непредвиденная ошибка. Не удается завершить указанное действие."

 

Спасибо за помощь.

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Написанное в сообщении №3 почему не выполнили? Жду

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\acpi24.exe','');
DeleteService('acpi24');
DeleteFile('C:\WINDOWS\system32\acpi24.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

 

Сжделайте новые логи

[snifer67]

проверьте на http://www.virustotal.com/ru/ файлы:

c:\windows\system32\sqlserv.exe
c:\windows\system32\sqldebug.exe

 

Выполните скрипт в avz

begin
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\HYINTH5Z\get[1].zip');
RebootWindows(true);
end.

ПК перезагрузится.

 

удалите папки c:\windows\system32\atqg38ee1t и c:\windows\system32\34hvry26hi.

Изменено 18 апреля, 2010 пользователем snifer67