Troshkin Опубликовано 16 апреля, 2010 Опубликовано 16 апреля, 2010 Здравствуйте!) Не запускается Касперский. Версия 9.0.0.736. Переустановка не помогает. Вручную тоже не запускается. Выкладываю логи AVZ. Что можно сделать? virusinfo_syscheck.zip virusinfo_syscure.zip
snifer67 Опубликовано 17 апреля, 2010 Опубликовано 17 апреля, 2010 Закройте/выгрузите все программы кроме Internet Explorer. Отключите: ПК от интернета/локальной сети. Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\acpi24.ocx',''); QuarantineFile('C:\WINDOWS\system32\ATQG38EE1T\F001.exe',''); QuarantineFile('C:\WINDOWS\system32\ATQG38EE1T\eoo1.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\SYMROA~1.EXE',''); QuarantineFile('c:\windows\system32\f00287484k.cmd',''); QuarantineFile('C:\WINDOWS\system32\acpi24.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys',''); QuarantineFile('C:\Progra~1\SMSClean\srvany.exe',''); QuarantineFile('C:\WINDOWS\system32\zqhpqg.exe',''); QuarantineFile('C:\WINDOWS\system32\acpi24.dll',''); QuarantineFile('c:\windows\system32\anitsvstart.dll',''); QuarantineFile('c:\windows\system32\sqlserv.exe',''); QuarantineFile('c:\windows\system32\sqldebug.exe',''); QuarantineFile('c:\windows\system32\atqg38ee1t\j002.exe',''); TerminateProcessByName('c:\windows\system32\atqg38ee1t\j002.exe'); QuarantineFile('c:\windows\system32\atqg38ee1t\f001.exe',''); TerminateProcessByName('c:\windows\system32\atqg38ee1t\f001.exe'); QuarantineFile('c:\windows\system32\atqg38ee1t\eoo1.exe',''); TerminateProcessByName('c:\windows\system32\atqg38ee1t\eoo1.exe'); QuarantineFile('c:\windows\system32\34hvry26hi\b7878.exe',''); TerminateProcessByName('c:\windows\system32\34hvry26hi\b7878.exe'); DeleteFile('c:\windows\system32\34hvry26hi\b7878.exe'); DeleteFile('c:\windows\system32\atqg38ee1t\eoo1.exe'); DeleteFile('c:\windows\system32\atqg38ee1t\f001.exe'); DeleteFile('c:\windows\system32\atqg38ee1t\j002.exe'); DeleteFile('c:\windows\system32\anitsvstart.dll'); DeleteFile('C:\WINDOWS\system32\acpi24.dll'); DeleteFile('C:\WINDOWS\system32\zqhpqg.exe'); DeleteFile('C:\WINDOWS\system32\acpi24.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AniSrv\Parameters','ServiceDll'); DeleteFile('c:\windows\system32\f00287484k.cmd'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\F00287484K\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\ATQG38EE1T\eoo1.exe'); DeleteFile('C:\WINDOWS\system32\ATQG38EE1T\F001.exe'); DeleteFile('C:\WINDOWS\system32\acpi24.ocx'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('acpi24Drv'); BC_DeleteSvc('frrd'); BC_DeleteSvc('vsd'); BC_DeleteSvc('vsfd'); BC_DeleteSvc('vsr'); BC_DeleteSvc('Nationalqnp'); BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи. Замените файл C:\WINDOWS\system32\Drivers\Beep.sys , как описано здесь http://virusinfo.info/showthread.php?t=51654
thyrex Опубликовано 17 апреля, 2010 Опубликовано 17 апреля, 2010 Дополнительно к совету snifer67 После выполнения скрипта и замены файла, сделайте лог ComboFix и прикрепите его к сообщению
Troshkin Опубликовано 17 апреля, 2010 Автор Опубликовано 17 апреля, 2010 А как заменить системный файл, если это нетбук (нет привода СД ДВД), и нет дистрибутива естественно?
vit9696 Опубликовано 17 апреля, 2010 Опубликовано 17 апреля, 2010 (изменено) Какой SP? Какой у вас Сервис пак? ============ У кого ХР этот файл сюда с пометкой сервис пака Изменено 17 апреля, 2010 пользователем vit9696
vit9696 Опубликовано 17 апреля, 2010 Опубликовано 17 апреля, 2010 (изменено) Вот для SP3 жди пока. Можешь поставить пока его. И установи SP3! beep.rar Изменено 17 апреля, 2010 пользователем vit9696
Troshkin Опубликовано 17 апреля, 2010 Автор Опубликовано 17 апреля, 2010 Скрипты не делал, т.к. пока не ответили, убил вирусы с помощью АВЗ, затем запустился Касперский, провел полную проверку, понаходил вирусы, почистил, все ок. Вирусы: Backdoor и пару Троянчиков. Всем спасибо.
vit9696 Опубликовано 17 апреля, 2010 Опубликовано 17 апреля, 2010 Скрипты не делал, т.к. пока не ответили, убил вирусы с помощью АВЗ, затем запустился Касперский, провел полную проверку, понаходил вирусы, почистил, все ок.Вирусы: Backdoor и пару Троянчиков. Всем спасибо. Куда? Логи заново сделать, вдруг что осталось, и СП3 установи!
Troshkin Опубликовано 17 апреля, 2010 Автор Опубликовано 17 апреля, 2010 Вообщем, сделал я скрипты, которые указали выше, отправил файл. Пришел ответ: Hello, This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. anitsvstart.dll, bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini, bcqr00009.ini, bcqr00010.ini, bcqr00011.ini, bcqr00012.ini, bcqr00013.ini, bcqr00014.ini, bcqr00015.ini, bcqr00016.ini, bcqr00017.ini, bcqr00018.ini, bcqr00019.ini, bcqr00020.ini, bcqr00021.ini, bcqr00022.ini, bcqr00023.ini, bcqr00024.ini, bcqr00025.ini, bcqr00026.ini, bcqr00027.ini, bcqr00028.ini, bcqr00029.ini, bcqr00030.ini, bcqr00031.ini, bcqr00032.ini, bcqr00033.ini, bcqr00034.ini, f00287484k.cmd, sqldebug.exe, sqlserv.exe These files are in process. srvany.exe, SYMROA~1.EXE, symroamsvr.EXE No malicious code were found in these files. Best Regards, Kaspersky Lab + прикрепляю логи AVZ, сделанные после всего. Все работает. единственное, когда начинаешь поиск файлов, выдает такую ошибку: "Помощник по поиску. Непредвиденная ошибка. Не удается завершить указанное действие." Спасибо за помощь. virusinfo_syscheck.zip virusinfo_syscure.zip
thyrex Опубликовано 17 апреля, 2010 Опубликовано 17 апреля, 2010 Написанное в сообщении №3 почему не выполнили? Жду Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\acpi24.exe',''); DeleteService('acpi24'); DeleteFile('C:\WINDOWS\system32\acpi24.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сжделайте новые логи
snifer67 Опубликовано 17 апреля, 2010 Опубликовано 17 апреля, 2010 (изменено) проверьте на http://www.virustotal.com/ru/ файлы: c:\windows\system32\sqlserv.exe c:\windows\system32\sqldebug.exe Выполните скрипт в avz begin DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\HYINTH5Z\get[1].zip'); RebootWindows(true); end. ПК перезагрузится. удалите папки c:\windows\system32\atqg38ee1t и c:\windows\system32\34hvry26hi. Изменено 18 апреля, 2010 пользователем snifer67
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти